ESCE: A Seguran�a da Informa��o Tamb�m se Aplica ao Ensino

A Escola Superior de Ci�ncias Empresariais (ESCE) � uma unidade org�nica do Instituto Polit�cnico de Set�bal (IPS), possuindo o seu edif�cio no campus do IPS, conjuntamente com tr�s das cinco Escolas que constituem o IPS. Como acontece com uma grande parte das institui��es de ensino nacionais, a seguran�a da informa��o n�o tem feito parte das suas principais preocupa��es. Recentemente, alguns dos seus dirigentes resolveram colocar a quest�o crucial: como � que uma institui��o de ensino, cujo core business assenta na forma��o e na informa��o, pode lidar empiricamente com a seguran�a da sua informa��o, sobretudo a mais cr�tica? Come�aram assim a tomar medidas no sentido de inverter a situa��o e j� pensam na certifica��o ISO/IEC 27001:2005, se n�o na totalidade da institui��o, pelo menos no que estiver sobre a ac��o directa do Centro de Inform�tica, Audiovisuais e Multim�dia (CIAM).

O Contexto

A ESCE foi criada em Dezembro de 1994 e iniciou as suas actividades lectivas em Outubro de 1995 com os cursos em Contabilidade e Finan�as, e Gest�o de Recursos Humanos. Desde ent�o, a ESCE tem vindo a alargar a sua oferta em �reas inovadoras ou pouco exploradas no ensino superior, como � o caso do curso em Gest�o da Distribui��o e da Log�stica, e do curso de Gest�o de Sistemas de Informa��o.

Actualmente, os cursos ministrados incluem as licenciaturas biet�picas em Contabilidade e Finan�as (regime diurno e nocturno), Gest�o de Recursos Humanos, Marketing, Gest�o da Distribui��o e da Log�stica e Gest�o de Sistemas de Informa��o. Em termos de forma��o p�s-graduada, os alunos podem optar pela p�s-gradua��o em Fiscalidade e pela p�s-gradua��o em Seguran�a e Higiene do Trabalho.

A Necessidade

Atendendo ao facto de se ter assumido a informa��o como um recurso a salvaguardar, a ESCE pretende constituir um grupo de interesse na �rea da seguran�a, cujo objectivo principal ser� tratar dos temas relativos � quest�o da seguran�a de informa��o. Todavia, existe a ideia de que isso n�o deve limitar-se apenas � ESCE, abrangendo a totalidade das suas estruturas, mas tamb�m que essas compet�ncias se possam futuramente estender �s restantes unidades org�nicas do IPS, em especial nos aspectos de interac��o entre as diversas Escolas e entre elas e o pr�prio Instituto.

Paralelamente a este objectivo, porque se tem vindo a tomar consci�ncia das car�ncias a n�vel da seguran�a da sua informa��o interna, a ESCE, al�m de proporcionar meios para aumentar as compet�ncias de alguns dos seus recursos humanos, pretende aumentar a seguran�a da informa��o interna da Escola. Esta necessidade de seguran�a envolve n�o s� a informa��o propriamente dita, mas tamb�m a seguran�a dos acessos f�sicos �s salas mais cr�ticas da institui��o e aos equipamentos inform�ticos, cujo acesso se considera restrito. Al�m disso, se considerarmos apenas a seguran�a da informa��o, temos que pensar basicamente em pol�ticas de backup da informa��o, de seguran�a dos emails, de paswords de acesso ao sistema, etc., que se enquadrem na pol�tica de seguran�a da institui��o.

Este tipo de iniciativas s�o importantes em qualquer institui��o que tenha informa��o cr�tica (e todas a t�m), nomeadamente informa��o dos clientes. No caso das institui��es de ensino - como � o caso da ESCE - a seguran�a da informa��o � ainda mais cr�tica. Por um lado, porque se trata de ambientes bastante abertos e onde o acesso f�sico �s instala��es � dif�cil de controlar. Dado o fluxo constante de pessoas (alunos, professores, e funcion�rios, entre outros), n�o � muito vi�vel, nem desej�vel, instalar sistemas de seguran�a de acesso f�sico muito r�gidos que se tornem obst�culos � funcionalidade que se pretende neste tipo de institui��o.

Por outro lado, existe informa��o cr�tica que necessita de garantias vital�cias (por exemplo, informa��o sobre diplomas e certificados de curso), enquanto que outra � mais temporal, mas igualmente cr�tica (notas dos alunos, dados dos alunos, exames, etc.). Paralelamente a estes dois aspectos, existe toda a informa��o normal de gest�o que caracteriza qualquer institui��o (contabil�stica, financeira, pagamentos, recursos humanos, compras, etc.).

Neste contexto, onde se questiona a possibilidade de investir em seguran�a de informa��o nos meios acad�micos (ou em alguns deles), deve destacar-se o facto das institui��es de ensino superior serem frequentemente alvos preferenciais de potenciais atacantes dos sistemas inform�ticos e da informa��o neles contida, existindo ainda elevadas probabilidades dessa seguran�a poder vir a ser quebrada por utilizadores internos.

No caso da ESCE existe uma orienta��o para as ci�ncias empresariais e gest�o, n�o existindo assim cursos com uma vertente muito t�cnica em termos de sistemas de informa��o que potencie a possibilidade de ocorr�ncia de ataques, o que n�o implica que esses ataques n�o possam existir. No entanto, apesar de existirem possibilidades de ocorr�ncia de incidentes de seguran�a, Ana Catarina Ca�ador, t�cnica do CIAM, n�o considera que a Escola apresente um risco t�o elevado como em outras institui��es de ensino com ofertas formativas mais orientadas para a vertente tecnol�gica dos sistemas de informa��o, e como tal com maiores probabilidades de serem alvo de ataques inform�ticos.

A Solu��o

A ESCE come�ou por efectuar um levantamento das suas vulnerabilidades em termos de seguran�a de informa��o. A seguran�a dos equipamentos � um aspecto importante, dada a dispers�o dos meios inform�ticos pelas instala��es (salas de docentes, salas de aulas, laborat�rios de inform�tica, salas de alunos, etc.), sendo estes normalmente controlados por um sistema de v�deo-vigil�ncia. Tamb�m existe uma equipa de seguran�as na Escola para proporciona apoio � gest�o das salas, nomeadamente abertura e fecho das mesmas ou � movimenta��o de equipamentos audiovisuais entre salas. Esta equipa procede ainda ao controlo de acessos �s instala��es em todos os per�odos do dia.

Ainda a n�vel dos equipamentos, est� a ser analisada a hip�tese de se proceder � instala��o de sistemas de acesso electr�nico com cart�o �s salas mais cr�ticas, nomeadamente ao CIAM e � sala de servidores.

No que se refere � informa��o propriamente dita, um dos primeiros passos consistiu na frequ�ncia do curso de Introdu��o � BS ISO/IEC 27001:2005 e BS ISO/IEC 17799:2005 e ainda do curso de implanta��o de um Sistema de Gest�o de Seguran�a da Informa��o (ou ISMS - Information Security Management System), ministrados pela Sinfic. Por outro lado, a ESCE � uma das organiza��es inclu�das no bar�metro de seguran�a Sinfic, pelo que tem acesso � inventaria��o das vulnerabilidades da sua rede.

A Sinfic, atrav�s da sua unidade de neg�cio Seguran�a da Informa��o, prop�e v�rias solu��es ao mercado na �rea da seguran�a da informa��o. A forma��o � apenas uma delas. Concretamente, no caso do curso de implementa��o de um Sistema de Gest�o de Seguran�a da Informa��o, o objectivo � disponibilizar aos participantes as necess�rias compet�ncias para a implanta��o de um ISMS que esteja em conformidade com os requisitos da norma ISO/IEC 17799 e que cumpra os requisitos para a certifica��o ISO/IEC 27001:2005. Este curso utiliza uma abordagem din�mica desenvolvida pela BSI, disponibilizando aos participantes uma metodologia comprovada para a implanta��o.A carga hor�ria � de cinco dias em regime residencial, incluindo a realiza��o de exerc�cios espec�ficos.

A ESCE est� ainda no in�cio das suas actividades na �rea da seguran�a da informa��o, mas j� est� a trabalhar nos procedimentos/normas de boas pr�ticas para a utiliza��o do correio electr�nico na escola. De igual modo, est�o a ser elaborados procedimentos para a vertente dos backups de informa��o e tem-se estado a trabalhar nas quest�es da seguran�a de acesso f�sico ao edif�cio.

Em termos futuros, ir� trabalhar-se em quest�es como a an�lise de risco e ser� necess�rio escrever os procedimentos de seguran�a da informa��o nas suas v�rias vertentes. A certifica��o ISO/IEC 27001:2005 tamb�m � uma meta dos respons�veis da ESCE. Apesar destes objectivos concretos, ser� necess�rio criar uma cultura interna de reconhecimento do valor da informa��o, uma vez que, tal como acontece na maior parte das institui��es, e mesmos das empresas, as pessoas s� se apercebem do valor da informa��o necessitam dessa informa��o e descobrem que n�o lhe conseguem aceder de acordo com as suas necessidades ou que a perderam.

Topo

Agenda

Destaques