Definição de política de segurança informática no IPCB

Dissertação apresentada à Escola Superior de Tecnologia do Instituto Politécnico de Castelo Branco para cumprimento dos requisitos necessários à obtenção do grau de Mestre em Desenvolvimento de Software e Sistemas Interativos, realizada sob a orientação científica Professor Doutor Osvaldo Arede dos Santos, do Instituto Politécnico de Castelo Branco.

Nos dias de hoje, os sistemas de informação são essenciais ao bom funcionamento das instituições, existindo uma dependência crescente entre o bom funcionamento das instituições e o normal funcionamento dos sistemas de informação e infraestruturas de comunicações. As ameaças contra a disponibilidade, integridade e confidencialidade destes sistemas informáticos podem resultar em situações altamente prejudiciais para o normal funcionamento das instituições. A utilização de políticas de segurança ajuda na identificação das áreas de responsabilidade dos utilizadores, administradores de sistemas e da gestão da instituição. As políticas de segurança devem fornecer um enquadramento para a implementação de mecanismos de segurança, definir procedimentos de segurança adequados, processos de auditoria à segurança e estabelecer uma base para procedimentos legais na sequência de eventos relevantes. Para a elaboração da política de segurança da informação do IPCB, foram analisadas algumas metodologias utilizadas na área da gestão de segurança da informação, nomeadamente a ISO 27000, COBIT e ITIL. Em seguida, foi efetuada uma comparação entre as diversas metodologias de forma a identificar aquela que mais se adequava à realização deste trabalho, concluindo-se que as orientações da norma ISO 27002 eram as que mais se ajustavam. Após a análise do funcionamento dos sistemas de informação do IPCB, foram identificadas as áreas que deveriam ser incluídas na elaboração de uma política de segurança. Finalmente, foi redigida a política de segurança da informação, de acordo com as indicações da norma ISO 27002, ajustada aos requisitos do IPCB.

ABSTRACT: Information systems are nowadays essential for the proper functioning of the institutions. There is a growing dependence on the normal operation of the information systems and communications infrastructure. The threats to the availability, integrity and confidentiality of these information systems can result in highly harmful situations for the normal functioning of those institutions. The use of security policies helps identifying the areas of responsibility of users, system administrators and the institution’s management. Security policies should provide a framework for the implementation of security mechanisms, define appropriate security procedures, audit security processes and establish a basis for legal proceedings in the sequence of relevant events. In order to create an information security policy for the IPCB, some methodologies usually used in the area of information security management have been studied, including ISO 27000, COBIT and ITIL. A comparison between these methodologies has been made, in order to identify the best for this work. The guidelines of the ISO 27002 standard were considered the most suitable. After an analysis of the IPCB information system’s functioning, the areas that should be included in the development of a security policy were identified. Finally, the information security policy has been written, according to the indications of the ISO 27002 standard, adjusted to the IPCB’s requirements.