ARTIGO / ARTICLE

Impactos dos procedimentos dos usurios na segurana da informao em ambientes de rede de computadores
Paulo Csar Ribeiro Quintairos1 Edson Aparecida de Arajo Querido Oliveira2 Mnica Gonalves de Mendona3

Resumo
Os Sistemas de Informaes SIs so continuamente afetados pela evoluo dos elementos da Tecnologia da Informao TI. A conexo em rede dos computadores que integram um SI acarretou srios problemas quanto segurana da informao. Assim, a gesto da segurana da informao passou a ter importante papel na estratgia de conhecer riscos e definir controles adequados para os SIs. Neste trabalho apresentado um estudo de caso, realizado em uma instituio federal de pesquisa e desenvolvimento, sobre os impactos do comportamento dos usurios na segurana de um SI. A partir da anlise dos logs de acesso a internet dos usurios dos sistemas da empresa, foi construda uma tabela de probabilidade e impacto desses logs para a segurana do sistema. Assim foram identificados os riscos potencialmente danosos segurana do sistema provenientes desses acessos. Os resultados obtidos no apontaram alta significncia de risco nos logs dos usurios. Entretanto, mostram a necessidade de adotar uma poltica de segurana, aliada a monitorao e conscientizao dos usurios quanto aos riscos que o uso da internet acarreta ao SI da organizao. Palavras-chave: Tecnologia da Informao; Rede de Computadores; Segurana da Informao e Registro de Logs

Recebimento: 30/11/2011 Aceite: 12/12/2011

1 Doutor em Fsica pelo CBPF. Docente do Mestrado em Gesto e Desenvolvimento Regional. End: Rua Expedicionrio Ernesto Pereira, 225, Centro, Taubat SP, Brasil. E-mail: paulo.quintairos@unitau.com.br 2 Doutor em Engenharia Aeronutica e Mecnica pelo Instituto Tecnolgico de Aeronutica. Docente do Mestrado em Gesto e Desenvolvimento Regional. E-mail: edson@unitau.br 3 Mestre em Desenvolvimento Regional pela Universidade de Taubat. E-mail: monica@ita.br

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

119

Security information in network computer environments: a study on the impact of the users procedures
Abstract
The Information Systems - SIs are continuously affected by the evolution of the elements of Information Technology - IT. Nowadays, the IS involves computers connected in a networking. This fact is a source of problems with regard to information security. Thus, the management of information security has to play an important role in the strategy to meet risks and set appropriate controls for the ISs. This paper presents a case study, carried out in a brazilian federal research and development organization, about the impacts of the users behavior in an IS security. From the analysis of access logs of Internet users of enterprise systems, we built up a table of likelihood and impact of these logs to system security. Once the risks have been identified potentially harmful to the security system from these attacks. The results did not show highly significant risk in the logs of users. However, show the need to adopt a security policy, coupled with monitoring and awareness of users about the risks that the use of the Internet brings to the SI of the organization. Keywords: Information Technology; Information and Registration Logs Computer Networking; Security

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

120

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

Introduo
O uso disseminado da Tecnologia da Informao nos Sistemas de Informaes acarretou o aumento contnuo da dependncia das empresas no funcionamento de sistemas integrados de Informtica e Telecomunicaes. Isso acarretou o aumento com as preocupaes relativas integridade e a segurana dos sistemas. A informao sempre foi um dos bens mais importantes de uma organizao. Entretanto, antes do uso dos sistemas de informao baseados em TI, as informaes mais crticas para as empresas podiam ser guardadas e trancadas dentro de gavetas e cofres. Atualmente, independente do grau de tecnologia da organizao, a proteo da informao uma das preocupaes dos executivos e proprietrios das empresas (FONTES, 2008). No mbito da Tecnologia da Informao (TI), o sistema de segurana responsvel pela integridade, disponibilidade e confidencialidade das informaes armazenadas nos Sistemas de Informaes (SIs). O sistema precisa disponibilizar as informaes, sempre que solicitadas pelos usurios autorizados, de forma suficientemente completa e precisa, a fim de satisfazer as necessidades da organizao (SMOLA, 2003). Nakamura e Geus (2007) descrevem que, enquanto a velocidade e a eficincia em todos os processos de negcios significam uma vantagem competitiva, a falta de segurana nos meios que habilitam a velocidade e a eficincia pode resultar em grandes prejuzos e a falta de novas oportunidades de negcios. No mbito da informao, deve-se ter em mente que o aprimoramento dos sistemas de segurana tem de ser contnuo, pois a tecnologia e os sistemas evoluem rapidamente. A segurana de redes deve ser considerada como parte essencial para a proteo da informao. Entretanto, uma boa estratgia de segurana que deve levar em considerao os aspectos humanos e processuais da organizao (NAKAMURA, GEUS, 2007). Neste artigo apresentado um estudo sobre como comportamento dos usurios, em relao aos procedimentos de segurana pode influenciar o grau de exposio de uma rede de computadores a problemas de segurana. O trabalho apresentado um estudo de caso realizado em uma instituio de pesquisa e desenvolvimento do governo federal brasileiro. A anlise apresentada neste trabalho foi realizada a partir dos logs de acesso ao ambiente de rede de computadores da organizao estudada. O mtodo adotado foi identificar padres de comportamento dos usurios potencialmente danosos segurana do sistema. Isso permitiu estabelecer uma relao entre o comportamento dos usurios e o grau de exposio a
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

121

riscos que a rede est sujeita. A partir da identificao dos riscos encontrados. Observa-se que a anlise apresentada neste trabalho no envolveu a identificao dos funcionrios e usurios do sistema estudado, nem qualquer tipo de avaliao do desempenho da rede de computadores estudada. A finalidade deste trabalho contribuir com o diagnstico e aperfeioamento das polticas de segurana da informao no ambiente de rede de computadores da instituio em estudo, podendo ser utilizada como referncia em outras organizaes da regio.

Reviso da literatura
A tecnologia da informao (TI) atualmente apontada como a espinha dorsal dos negcios. Essa mudana exige a aproximao da rea de tecnologia aos negcios corporativos e tambm o alinhamento das estratgias de TI com as estratgias corporativas (SALL, 2004). O termo informtica, como citado por Albertin (1999), bastante genrico e acaba por englobar alguns componentes para o tratamento da informao, dentre eles a Tecnologia da Informao e Sistema de Informao (SI). Para Cash, McFarlan e Mckenney (1992, apud ALBERTIN) Tecnologia da Informao um termo amplo, e engloba as tecnologias de computadores, telecomunicaes e automao de escritrio. Balloni (2006, p.10) define TI como o conjunto dos recursos tecnolgicos e computacionais cuja funo a gerao e o uso da informao visando criar, armazenar, difundir dados e informao, no processo de criao de conhecimentos. Segundo Tapscott (1997), a adoo de TI possibilita aumentar a produtividade, de modo que a eficincia resulte em economia de tempo que, por sua vez, pode ser reinvestida na eficcia. O autor acrescenta ainda que no mais possvel elaborar uma estratgia ou um projeto de negcio sem considerar a importncia da tecnologia. Foina (2009) aponta que a Tecnologia da Informao como abordagem integrada para os problemas mantm como paradigma o fato de que qualquer soluo deve considerar as vertentes de tecnologia, a cultura empresarial e as necessidades dos recursos humanos envolvidos. Martens (2001, apud ALTER, 1996) conceitua TI como sendo um conjunto de hardware e software que possibilitam o funcionamento dos SIs, que por sua vez influenciam os processos de negcios. Estes processos podem ser vistos como etapas que utilizam pessoas, informaes e outros recursos, para criar valor aos clientes.

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

122

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

Balloni (2006) descreve SI como sendo um conjunto de componentes, que estabelece uma relao com objetivo de coletar dados como entrada, armazenar e transformar esses dados em informao e aps isso, divulgar a informao como sada para apoiar a tomada de deciso gerencial, e tambm apoiar a coordenao, controle, anlise e visualizao na organizao. Lucas (1986 apud ALBERTIN, 1999, p.18) define Sistema de Informao (SI) como um conjunto de procedimentos organizados que, quando executados, proveem informao para suportar a tomada de deciso e o controle numa organizao, este termo enfatiza o lado aplicativo da tecnologia de informtica utilizado nos procedimentos para tratar as informaes existentes. OBrien (2004, p. 6) mais abrangente na sua descrio, pois , ele conceitua SI como um conjunto organizado de pessoas, hardware, software, redes de comunicaes e recursos de dados que coleta, transforma e dissemina informaes em uma organizao. O autor relata ainda (2001, p.20) que os SIs e as TIs devem apoiar as estratgias e processos empresariais, bem como a estrutura e a cultura organizacional de uma empresa, com objetivo de aumentar o valor dos negcios e proporcionar um ambiente dinmico. Para que haja o efetivo funcionamento, os SIs requerem cinco requisitos bsicos: pessoas, hardware, Software, dados e redes. Segundo Freitas et al. (1997, p.24), a importncia da informao dentro das organizaes aumenta de acordo com o crescimento da complexidade da sociedade e das organizaes. Em todos os nveis organizacionais (operacional, ttico e estratgico), a informao um recurso fundamental. Albertin (1999) destaca que o tratamento das informaes por meio de Sistemas de Informaes (SIs) parte integrante das organizaes que oferecem produtos e ou servios. Os SIs partem por englobar desde a concepo, o planejamento e a produo at a comercializao, distribuio e suporte. Assim sendo, os SIs so atualmente um componente crtico do planejamento estratgico, sendo elemento essencial para que a TI propicie vantagens competitivas s organizaes. Segundo Laudon e Laudon (2004), Tecnologia de Informao e Organizaes influenciam-se mutuamente, sendo que a TI deve estar alinhada aos negcios da organizao. Somente assim poder fornecer as informaes de que seus importantes grupos internos precisam. Entretanto, os autores destacam que a interao entre Tecnologia de Informao e Organizaes complexa e influenciada por diversos fatores intervenientes, entre eles a estrutura da Organizao.
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

123

A TI pode proporcionar mudanas diversas, desde uma simples automatizao de processos at uma profunda alterao na maneira de conduzir os negcios. Cabe, portanto, organizao avaliar e planejar suas expectativas e necessidades perante o mercado, qual a estratgia a ser adotada e o papel da TI frente aos objetivos organizacionais. Laurindo (2002) descreve o papel da TI como uma estratgia competitiva, principalmente pelas novas possibilidades de negcios que a TI proporciona. Dada a importncia dos SIs e da TI para as organizaes, necessrio aprimorar a administrao desses sistemas. Atualmente o planejamento dos recursos de Tecnologia da Informao se encontra mais estruturado e tomando vida prpria, como exemplo pode-se citar o Plano Diretor de Informtica e o Planejamento Estratgico da Tecnologia da Informao, levando ainda em considerao que os recursos de tecnologia da informao devam estar a servio do negcio da organizao (FONTES, 2008). Da mesma forma o processo de segurana e proteo da informao necessita de um planejamento, devendo estar adequado ao negcio. Mas o que considerar em um planejamento de segurana da Informao? Segundo Fontes (2008) alguns aspectos devem ser considerados: Caractersticas do negcio pois todo processo de segurana deve estar alinhado com as caractersticas do negcio da organizao. Estrutura do negcio Disso ir depender como a organizao tratar sua informao, de forma centralizada ou descentralizada, pois a maneira como a organizao trata suas informaes influenciar na gesto dessas informaes. Plano estratgico da Segurana a partir da definio da estrutura da organizao deve-se elaborar um planejamento estratgico de segurana para a organizao, definindo-se polticas, responsabilidades e escopo dos recursos a serem protegidos. Mapear as vulnerabilidades e priorizaes com o envolvimento de diversos recursos e diversas tecnologias se torna fundamental fazer o mapeamento para identificar vulnerabilidades existentes e ento definir prioridades para implementao de controles. Identificar recursos necessrios Alm da aquisio de softwares e equipamentos, se faz necessrio a aquisio de tempo para os usurios, conscientizando-os na proteo das informaes. Definir nveis de segurana Cada organizao deve definir o seu patamar de segurana, devendo estar compatvel com seu negcio. No existe soluo certa ou errada, existe sim a soluo mais adequada e menos adequada a cada organizao. Como qualquer outro

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

124

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

planejamento o planejamento de segurana deve ser feito, pois ele o rumo a ser seguindo com objetivos bem definidos. Em um mundo globalizado e com rpidos avanos tecnolgicos, faz com que as organizaes busquem o mais alto nvel de competitividade, no qual a conquista por novos mercados torna-se uma disputa acirrada (NAKAMURA, GEUS 2007). Os autores supracitados descrevem que a propriedade determinante nos ambientes corporativos a complexidade que envolve a comunicao entre diferentes tecnologias, diferentes usurios, diferentes culturas e diferentes polticas internas. Diante dessa complexidade a segurana necessria a ser implementada igualmente complexa, onde se envolve aspectos de negcio, humanos, tecnolgicos, processuais e jurdicos. De fato, a tecnologia faz parte de um pilar que inclui ainda os processos e as pessoas, que tambm so considerados para a elaborao de uma estratgia de segurana coerente, de acordo com os aspectos dos negcios da organizao. A segurana em ambientes cooperativos ser o resultado do conjunto de esforos para atender ao ambiente e as tecnologias, saber como as utilizar e implemantar de modo correto. Fernandes e Abreu (2008) relatam que a Poltica de Segurana da Informao est associada ao risco que a TI representa para a continuidade dos negcios da organizao. Descrevem ainda que a dimenso dessa poltica ser tanto maior quanto mais interconectada estiver organizao e mais estratgico for o papel que a TI representa para o negcio, uma vez que eventos de risco esto relacionados com a segurana de dados e informaes podendo trazer grandes prejuzos para a organizao. O NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY - NIST (2002) relata que os requerimentos de segurana so baseados em padres sistemticos, evolutivos e que identificam as vulnerabilidades dos ativos (pessoas, hardware, software, informao), dos processos e das informaes associados aos sistemas de TI distribudos nas reas de segurana gerencial, operacional e tcnica. O NIST (2005, p.1) recomenda que, ao se definir o modelo de segurana, algumas perguntas consideradas essenciais devam ser respondidas, como: Quais controles de segurana so adequados para proteger os sistemas de informao e garantir a operacionalizao da organizao? O plano de implementao dos controles est adequado realidade? Quais nveis de segurana so requeridos para garantir a confidencialidade das informaes? O NIST (2005) aponta que a segurana da informao est associada gesto de riscos, pois a avaliao de riscos recomenda os controles
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

125

mnimos, os documentos e o plano de segurana para os sistemas de informao. Na abordagem da Organization for Economic Co-Operation and Development a segurana da informao ganha uma abrangncia estratgica, requerendo aes efetivas do Estado, interagindo com o setor privado e a sociedade. Esses pilares que a OECD defende, devem integrar cada um com sua responsabilidade especfica, e construir uma cultura de segurana da informao (OECD, 2005). Na prtica, a definio de um modelo para a segurana da informao tem como objetivo assegurar o negcio da empresa, alicerado nos aspectos da confidencialidade, integridade e disponibilidade, conforme observado por Pfleeger (1997, apud Mendona, 2007). Ao utilizar um conjunto de controles ser possvel conhecer e gerir riscos, orientar aes de continuidade do negcio, nveis de responsabilidade e conformidade com diretrizes, legislaes e acordos contratuais, como recomendado pelo NIST (2005, p.1). A responsabilidade pelo nvel correto de segurana da informao deve estar apoiada em uma deciso estratgica de negcios, tomando como base um modelo de Governana da Segurana da Informao que seja capaz de contemplar a anlise de risco (MOREIRA, BERNARDES 2005). Uma administrao eficiente da segurana da informao deve prover a proteo de todos os elos da corrente, ou seja, todos os ativos que compem um negcio sejam eles tecnolgicos, de infraestrutura fsica, informaes e pessoas. Todos em uma organizao so responsveis pela segurana da informao, portanto s faz necessrio haver o envolvimento de todos aqueles que a manipulam dentro da organizao funcionrios, estagirios, parceiros e prestadores de servio. Porm isto s alcanado atravs de uma soluo corporativa de segurana da informao, implementada com a criao de uma estrutura corporativa adequadamente posicionada no organograma da organizao (Smola, 2003). Completando ainda, segundo ENTRUST (2004) para que as organizaes obtenham sucesso no processo de segurana da informao, os gestores precisam tornar a segurana computacional uma parte integrante da operao do negcio da organizao. Nesta era digital, como as organizaes usam a automatizao da Tecnologia da Informao de Sistemas para processar suas informaes, para um melhor suporte as suas misses, a Gesto de riscos desempenha um papel fundamental para proteger os ativos de informao da organizao. Segundo Brando e Fraga (2008 apud Swanson e Guttman, 1996) a Gesto de

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

126

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

riscos est baseada em princpios e boas prticas de gerenciamento e segurana, para auxiliar a tomada de decises. A gesto de riscos passa a ser ento um processo utilizado em todos os tipos de empreendimentos com objetivo de identificar oportunidades e ameaas ao negcio. No ambiente de segurana da informao um processo eficaz de gerenciamento de risco um componente importante para se alcanar o sucesso. O principal objetivo de uma eficiente gesto de risco o de proteger a organizao e sua capacidade de desempenhar sua misso, e no devendo ser tratado apenas como uma funo ttica, mas sim como funo essencial da gesto da organizao. O risco no pode ser completamente eliminado, o gerenciamento do risco permite aos gestores informaes sobre o programa de segurana, visando equilibrar os custos operacionais e econmicos das medidas de proteo e obter ganhos na capacidade de sua misso (NIST SP800-100). No que diz respeito segurana da informao, a gesto de risco est focada na preveno e mitigao dos danos, e as aes dependem do tipo do negcio e das ameaas s quais esto submetidas ABNT ISO/IEC (Guia 73:2005, p.1). Para Soler et al. (2006) Gesto de risco o processo de identificao, anlise, desenvolvimento de respostas e monitoramento dos riscos em projetos, com objetivo de diminuir a probabilidade e o impacto de eventos negativos e de aumentar a probabilidade e o impacto de eventos positivos. Gerenciar riscos envolve a tomada de decises em ambiente incerto, complexo e dinmico (SOLER et al. 2006, pag. 26) percebe-se que a palavra risco est direta ou indiretamente ligada incerteza, pois trata-se de eventos que podem ocorrer ou no. E mesmo ocorrendo o grau de preciso em que podero ocorrer impreciso. Para que haja uma eficiente Gesto de Riscos temos que ter a noo correta dos riscos, que permitir que se definam e ferramentas para mitiglos. Infelizmente os riscos podem ser identificados e reduzidos, mas nunca totalmente eliminados Brando e Fraga (2008, apud Garfinkel et al. 2003). Brando e Fraga (2008, apud Stoneburner et al. 2002) define o risco como o impacto negativo da explorao de uma vulnerabilidade, considerando a probabilidade do uso do mesmo e o impacto da violao. Ou seja, o risco uma tentativa de quantificar as possibilidades de violao e os prejuzos decorrentes do impacto do mesmo. A ABNT, em sua guia 73 (2005, p.2), conceitua Risco como a combinao da probabilidade de um evento e de suas consequncias, onde: probabilidade o grau de possibilidade de que um evento ocorra; evento a
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

127

ocorrncia de um conjunto especfico de circunstncias; consequncias so resultados de um evento. O NIST, em seu documento 800-100 (2006, p.85), trata o risco como a probabilidade de que uma fonte de ameaa e uma potencial vulnerabilidade resultem em um evento que cause um impacto adverso organizao, ou seja, acontecendo o cruzamento de uma ameaa com uma vulnerabilidade, o risco estar presente. A Figura 1 apresenta um esquema do processo de anlise de risco. Figura 1: Processo de risco

Fonte: NIST, 800-100, 2006, p.85

O gerenciamento de riscos aplicado aos Sistemas de Informao tratado pelo Technology Administration do (NIST), rgo do Governo americano responsvel pela segurana computacional e gerenciamento de TI das organizaes pblicas, como sendo composto essencialmente pelos processos de: Anlise de Risco (Identificao, avaliao e impactos); Mitigao do Risco (priorizao, implementao e manuteno das medidas de proteo) e Avaliao do Risco (contnua reviso dos processos chaves para implementar o gerenciamento de risco). Uma abordagem sistmica da Gesto de Riscos de Segurana da Informao se faz necessrio para identificar as necessidades da organizao em relao aos requisitos da segurana da informao e para criar um sistema de gesto de segurana da informao (SGSI), que seja eficaz. Esta abordagem deve estar adequada ao ambiente da organizao e em particular deve estar alinhada com o processo maior de gesto de riscos corporativos. A gesto de riscos de segurana da informao deve ser parte integrante das atividades de gesto de segurana da informao e aplicada

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

128

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

tanto implementao quanto a operao cotidiana de um SGSI (NBR ISO/IEC 27005:2008). A gesto de riscos deve analisar os possveis acontecimentos e suas conseqncias, antes de decidir o que ser feito e quando ser feito, com o objetivo de reduzir os riscos a um nvel aceitvel (NBR ISO/IEC 27005:2008). A Norma Brasileira ISO/IEC 27005 (2008) descreve que a Gesto de riscos compreende um conjunto de atividades coordenadas para direcionar e controlar uma organizao no que se refere aos riscos. A gesto de riscos inclui as seguintes macro atividades principais: a) Anlise de riscos uso sistemtico de informaes para identificar fontes de ameaas, a fim de estimar os riscos; b) Avaliao de riscos processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco; e c) Tratamento de riscos processo de seleo e implementao de medidas para modificar um risco. E que a necessidade da gesto de riscos unanime em todos os empreendimentos. Toda Organizao, independente do setor (pblico, privado ou terceiro setor), deve investir no negcio baseado na anlise e avaliao dos riscos, contribuindo para o sucesso do empreendimento. O risco inerente a qualquer atividade, podendo envolver perdas e oportunidades. No que diz respeito governana, o risco est associado a vrios setores, mas o importante conhecer e ter a capacidade de administr-lo. O Instituto Brasileiro de Governana Corporativa (IBGC) lanou o Guia de Orientao para o Gerenciamento de Riscos Corporativos, contendo recomendaes sobre o Gerenciamento de Riscos Corporativos (Instituto Brasileiro de Governana Corporativa, 2007 p.6). O IBGC (2007, p.7) apresenta que o conceito atual de riscos envolve a quantificao e qualificao da incerteza, tanto no que diz respeito a perdas como aos ganhos, com relao ao rumo dos acontecimentos planejados, seja por indivduos ou por organizaes. A implantao de um modelo de Gesto de Risco Corporativo (GRC), segundo o Instituto Brasileiro de Governana Corporativa (IBGC, 2007, p.8), traz alguns benefcios para a organizao: Preserva e aumenta o valor da organizao, mediante a reduo da probabilidade de impacto de eventos de perdas no mercado; Promove maior transparncia ao informar aos investidores e ao pblico, os riscos aos quais a organizao est sujeita e aes adotadas para mitigar;
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

129

Melhora o padro de governana mediante a explicitao dos riscos em consonncia com o posicionamento com os acionistas e a cultura da organizao. A Gesto de Riscos est baseada em princpios e boas prticas de gerenciamento e segurana, para auxiliar a tomada de decises. Existem mtodos atravs dos quais o processo de gerenciamento de riscos pode ser implementado com sucesso em uma organizao. necessrio que a organizao use o mtodo que melhor se adque as suas circunstncias, para cada aplicao especfica do processo (NBR ISO/IEC 2005:2008). Entre as ferramentas metodolgicas disponveis para o desenvolvimento da gesto de risco, destaca-se o modelo PDCA, adotado pela ISO/IEC 27001, este modelo aplicado para estruturar todos os processos do Sistema de Gesto de Segurana da Informao (SGSI). Para a ABNT, em sua norma NBR ISO/IEC 27001:2006, a adoo do modelo PDCA (PLAN, DO, CHECK, ACT) refletir os princpios para a governana da segurana de sistemas de informao e redes. Em um SGSI, a definio do contexto, a anlise/avaliao de riscos, o desenvolvimento do plano de tratamento do risco e a aceitao do risco, fazem parte da fase Planejar. Na fase Executar do SGSI, as aes e controles necessrios para reduzir os riscos para um nvel aceitvel no implementado, de acordo com o plano de tratamento do risco. Na fase Verificar do SGSI, os gestores determinaro a necessidade de reviso da avaliao e tratamento do risco luz dos incidentes e mudanas nas circunstncias. Na fase Agir as aes necessrias so executadas, incluindo a reaplicao do processo de gesto de riscos de segurana da informao. O Quadro 1 resume este alinhamento:

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

130

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

Quadro 1: Processos de gesto de risco Processo do SGSI Processo de Gesto de Riscos de Segurana da Informao Definio do contexto; Analise/avaliao de riscos; Definio do Plano de Tratamento de risco; Aceitao do risco. Implementao do Plano de Tratamento de Risco. Monitoramento contnuo e Anlise crtica de riscos. Manter e melhorar o processo de Gesto de riscos de Segurana da Informao.
Fonte: ABNT NBR ISO/IEC 27005:2008

Planejar

Executar Verificar Agir

A Figura 2 ilustra como um Sistema de Gesto de Segurana da Informao (SGSI) considera as entradas de requisitos de segurana da informao, expectativas das partes interessadas e as aes necessrias e processos resultam no atendimento. Figura 2: Modelo PDCA

Fonte: ABNT NBR ISO/IEC 27001:2006

Segundo a norma NBR ISO/IEC 27005 (2008) o processo de avaliar os riscos e selecionar os controles pode precisar ser realizado vrias vezes, de forma a cobrir diferentes partes da organizao ou de sistemas de informao especficos. Complementando ainda, conveniente que a anlise/avaliaes de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise do risco) e o processo de comparar os riscos estimados contra

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

131

critrios de risco para determinar a significncia do risco (avaliao do risco). Essas atividades devem ser realizadas periodicamente, para contemplar as mudanas significativas que ocorrem no ambiente de negcio, e conseqentemente nos requisitos de segurana da informao, no que se refere aos ativos informacionais, levando em considerao as ameaas, vulnerabilidades e impactos diante de uma situao de riscos. Durante todo o processo de gesto de riscos de segurana da informao, importante que os riscos e a forma com que so tratados sejam comunicados ao pessoal das reas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informaes sobre o que foi identificado como sendo um risco podem ser teis para um gerenciamento de incidentes e ajudar a reduzir possveis prejuzos. Por meio de uma plena conscientizao por parte dos Gestores e todo o efetivo da organizao, no que diz respeito aos riscos, natureza dos controles aplicados para mitig-los e as reas definidas como de interesse pela organizao auxilia a lidar com os incidentes e eventos no previstos de maneira mais efetiva.Toda atividade de anlise e avaliao de riscos deve ser realizada de forma metdica, capaz de gerar resultados comparveis e reproduzveis (NBR ISO/IEC 27001:2006). Wack, at al. (NIST SP800-42, 2001) descreve alguns testes de segurana que so adotados no modelo NIST, considerando este fator uma atividade fundamental. Os testes podem ser abordados de maneira diferenciada, podendo ou no ser executados de acordo com o Sistema. Cada teste possui diferentes ferramentas que podem auxiliar na sua automatizao. Os tipos de testes de segurana so: mapeamento da rede; rastreamento de vulnerabilidades; teste de penetrao; avaliao de segurana; quebra de senhas; reviso de logs; conferncia de integridade e deteco de vrus.

Mtodo
O mtodo cientfico, de acordo com Cervo e Bervian (1996), o ordenamento que deve ser utilizado para organizar e criar uma dinmica aos processos necessrios para alcanar os resultados e respostas procurados. Assim, o mtodo utilizado no presente artigo foi o estudo de caso, tomando como cenrio um ambiente de rede de dados em uma Instituio Pblica Federal de P&D. Do ponto de vista dos objetivos, esta uma pesquisa descritiva, pois procurou com certa preciso descrever a frequncia com que o fenmeno
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

132

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

ocorreu. J do ponto de vista dos procedimentos tcnicos, documental, pois foram analisados arquivos disponibilizados pela Instituio Pblica, com o objetivo de descrever e comparar hbitos e costumes dos servidores que utilizam a rede de computadores, baseando-se na anlise de logs do sistema de rede e na documentao normativa utilizada pela Organizao estudada. Os dados utilizados como base para esta pesquisa foram extrados dos arquivos de logs registrados na mquina que hospeda o servio de Proxy da instituio, por onde trafega todo acesso interno e externo ao sistema da rede estudada. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitrios, quando foi feito o acesso e que tipo de operaes foram efetuadas. A populao em estudo consta de 300 servidores que utilizam a rede de computadores, e tendo como amostra os registros de logs de acesso a rede de computadores. Segundo o Tribunal de Contas da Unio TCU (2007) arquivos de logs so usados para registrar aes dos usurios, constituindo-se em timas fontes de informao para auditorias futuras, o que na maioria das vezes o nico recurso que um administrador possui para descobrir as causas de um problema ou um comportamento anmalo. Foi desenvolvido um programa de computador que executou a leitura dos arquivos de log, registrados no servio de Proxy, tomando como base os meses de Abril, Junho e Agosto. Os dados foram ajustados a uma planilha, que permitiu a leitura e a estratificao das ocorrncias. Utilizando o complemento WOT que funciona em anexo ao navegador Firefox, foi realizada a classificao dos endereos acessados atravs do protocolo http (hiper text transfer protocol), tomando como critrio a tabela 1 representada a abaixo. Aps esse processo, as informaes foram classificadas por nveis de risco, como mostrado no Quadro 2. Quadro 2: Classificao em nveis de acesso
NVEL DE RISCO NULO MUITO BAIXO BAIXO ALTO MUITO ALTO TIPOS DE ACESSO 0 Internos; Instituies de Ensino e Pesquisa; Governamentais. 1 Portais de busca; Notcias nacionais; Bancos. 2 Comrcio empresas renomadas; Notcias internacionais. 3 Comrcio empresa pouco conhecido 4 Relacionamentos; Bate-papo; Sites pornogrficos.
Fonte: Quintairos, 2010 LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

133

Os dados coletados e analisados foram utilizados para preencher a tabela de Probabilidade e Impacto (P-I), a qual caracterizada em uma matriz. Trata-se de uma ferramenta para realizar a priorizao dos fatores de risco. Essa tabela possui como colunas a expectativa de ocorrncia de um fator de risco e como linhas a expectativa do impacto caso o fator de risco ocorra. As expectativas so informadas atravs de categorias, conforme mostrado no Quadro 3. Quadro 3: Probabilidade x Impacto Probabilidade de ocorrncia Muito alto Alto Baixo Muito baixo Nulo
Fonte: Schmitz, Alencar e Vilar (2006, pg. 39)

Impacto sobre o projeto Muito alto Alto Baixo Muito baixo Nulo

Resultados
Nesta seo so apresentados os resultados obtidos por meio da anlise estatstica dos logs dos usurios no sistema estudado. O procedimento para a anlise do nvel de risco, tomando como ponto de partida o software que fez a leitura dos logs, mostrado na Figura 3. O objetivo dessa anlise foi apontar que tipos de acesso so os mais danosos a rede de dados analisada. Isso poder ser usado a fim de nortear medidas que podem ser adotadas por parte dos administradores da rede no que diz respeito ao estabelecimento de polticas de segurana de uso aceitvel por parte dos usurios.

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

134

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

Figura 3: Fluxograma para leitura e ordenao dos logs

INCIO CARREGAR MATRIZ DE ENDERES

ORDENAR MATRIZ DE ENDEREOS

CONTAR REPETIES DE ENDEREOS

ORDENAR MATRIZ DE CONTAGEM DE ENDEREOS

CRIAR ARQUIVO DE SADA DOS RESULTADOS FIM

Fonte: Mendona, 2010

A Tabela 1 mostra os dados do nmero de acessos para os meses de abril, junho e agosto de 2010, classificados quanto ao risco oferecido segurana do sistema. A comparao dos valores de abril e junho, abril e agosto e junho e agosto foi realizada por meio do teste T de Student, considerando 5% de significncia. Os resultados obtidos apontam que a variao no nmero de acessos analisados para os meses de abril, junho e agosto no estatisticamente significativa. Tabela 1: Classificao dos acessos quanto ao nvel de risco para a amostra de abril, junho e agosto de 2010
NVEL DE RISCO NULO MUITO BAIXO BAIXO ALTO MUITO ALTO TOTAL ABRIL 26.755,0 12,4% 66.185,0 30,6% 51.975,0 24,0% 40.536,0 18,7% 30.780,0 14,2% 216.231,0 JUNHO 34.965,0 14,4% 83.336,0 34,2% 61.388,0 25,2% 35.404,0 14,5% 28.406,0 11,7% 243.499,0 AGOSTO 28.162,0 12,3% 73.243,0 32,1% 64.098,0 28,1% 41.346,0 18,1% 21.463,0 9,4% 228.312,0 ACUMULADO 89.882,0 13,1% 222.764,0 32,4% 177.461,0 25,8% 117.286,0 17,0% 80.649,0 11,7% 688.042,0

A partir dos dados da coluna Acumulado da Tabela 1 nmero de acessos classificados quanto ao nvel de risco foi possvel estimar os valores esperados para os meses de abril, junho e agosto, supondo no haver diferena na distribuio mensal. A Tabela 2 mostra os resultados esperados para o ms de abril. Os valores observados e esperados foram comparados por meio do teste do 2 (qui-quadrado), considerando 5% de significncia. Os resultados obtidos
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

135

foram p ~ 1,0, 2 ~ 0,0 e para um valor crtico de 9,49. Assim sendo, as diferenas entre os valores observados e esperados so mera flutuao estatstica. Tabela 2: Resultados esperados para a classificao de risco dos acessos analisados para o ms de abril
ABRIL NVEL DE RISCO NULO MUITO BAIXO BAIXO ALTO MUITO ALTO TOTAL OBSERVADOS 26.755,0 66.185,0 51.975,0 40.536,0 30.780,0 216.231,0 12,4% 30,6% 24,0% 18,7% 14,2% ESPERADOS 29.029,6 70.326,2 53.319,5 35.717,9 27.837,7 216.231,0 13,4% 32,5% 24,7% 16,5% 12,9%

A Tabela 3 mostra os resultados esperados para o ms de junho. Os valores observados e esperados foram comparados por meio do teste do 2 (qui-quadrado), considerando 5% de significncia. Os resultados obtidos foram os mesmos obtidos para os dados de abril, ou seja, p ~ 1,0, 2 ~ 0,0 e valor crtico de 9,49. Assim sendo, as diferenas entre os valores observados e esperados so mera flutuao estatstica. Tabela 3: Resultados esperados para a classificao de risco dos acessos analisados para o ms de junho
JUNHO NVEL DE RISCO NULO MUITO BAIXO BAIXO ALTO MUITO ALTO OBSERVADOS 34.965,0 83.336,0 61.388,0 35.404,0 28.406,0 243.499,0 14,4% 34,2% 25,2% 14,5% 11,7% ESPERADOS 32.690,4 79.194,8 60.043,5 40.222,1 31.348,3 243.499,0 13,4% 32,5% 24,7% 16,5% 12,9%

A Tabela 4 mostra os resultados esperados para o ms de agosto. Os valores observados e esperados foram comparados por meio do teste do 2 (qui-quadrado), considerando 5% de significncia. Os resultados obtidos foram os mesmos obtidos para os dados de abril, ou seja, p ~ 1,0, 2 ~ 0,0 e

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

136

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

valor crtico de 9,49. Assim sendo, as diferenas entre os valores observados e esperados so mera flutuao estatstica. Tabela 4: Resultados esperados para a classificao de risco dos acessos analisados para o ms de agosto
AGOSTO NVEL DE RISCO NULO MUITO BAIXO BAIXO ALTO MUITO ALTO TOTAL OBSERVADOS 28.162,0 73.243,0 64.098,0 41.346,0 21.463,0 228.312,0 12,3% 32,1% 28,1% 18,1% 9,4% ESPERADOS 29.825,4 73.919,5 58.886,6 38.918,8 26.761,6 228.312,0 12,2% 30,4% 24,2% 16,0% 11,0%

O Grfico 1 monstra o total de acessos realizados no ms de Abril. Observa-se que os acessos com nvel de risco muito baixo se apresentam de maneira predominante, j os nveis baixo, alto e muito alto mantm praticamente a mesma equidistncia. Grfico 1: Acessos do ms de abril de 2010
ACESSO MS DE ABRIL 70000 60000 50000 40000 30000 20000 10000 0
AZUL (NULO) VERDE (MUITO BAIXO) AMARELO (BAIXO) ROXO (ALTO) VERMELHO (MUITO ALTO)

O Grfico 2 a mostra o total de acessos no ms de Junho. O nvel de acesso com risco muito baixo continua predominante, mas a diferena entre o nvel de risco baixo para o nvel alto se apresenta em uma faixa maior do que no Grfico 1; percebe-se tambm que a proporo entre os nveis de risco alto e muito alto diminuiu em relao ao ms anterior.
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

137

Grfico 2: Acessos realizados no ms de Junho

ACESSO MS DE JUNHO 90000 80000 70000 60000 50000 40000 30000 20000 10000 0
AZUL (NULO) VERDE (MUITO BAIXO) AMARELO (BAIXO) ROXO (ALTO) VERMELHO (MUITO ALTO)

O Grfico 3 ilustra o total de acessos no ms de agosto, onde demonstrado que os acessos com nvel de risco muito baixo diminuiu em relao aos meses anteriores, com isto houve um aumento de acessos com nvel baixo e alto, j os acessos com nvel muito alto diminuiu em relao aos meses anteriores. Grfico 3: Acessos realizados no ms de Agosto
ACESSO MS DE AGOSTO 80000 70000 60000 50000 40000 30000 20000 10000 0
AZUL (NULO) VERDE (MUITO BAIXO) AMARELO (BAIXO) ROXO (ALTO) VERMELHO (MUITO ALTO)

O Grfico 4 apresenta a comparao dos acessos de abril, junho e agosto. Observa-se que os acessos mais recorrentes foram os de nvel de risco muito baixo. Porm percebe-se que nos nveis nulo e muito alto h uma

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

138

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

equiparao. recomendando a NBR ISO/IEC 27002 que seja feito um controle mais efetivo, de forma a gerenciar esses possveis riscos. Grfico 4: Comparativo de acessos nos meses abril, junho e agosto
COMPARAO ENTRE MESES
90000 80000 70000 60000 50000 40000 30000 20000 10000 0

FREQUNCIA

NULO

MUITO BAIXO

BAIXO CLASSIFICAES

ALTO

MUITO ALTO

ABRIL

JUNHO

AGOSTO

Quanto ao impacto e a probabilidade de ocorrncia dos eventos, Schmitz et al (2006) citam que uma caracterstica importante em um processo eficiente de priorizao dos fatores de risco deve estar baseada na sua probabilidade de ocorrncia e no impacto dos critrios de sucesso. Neste trabalho isso feito atravs da tabela probabilidade e impacto (PI). Nela apresentada a interseco da probabilidade de ocorrncia de um evento, bem como o impacto que esse evento pode causar sobre o projeto. Para a construo dessas tabelas, foi tomado como base o total de endereos acessados a cada ms. Objetivando definir sua amplitude, utilizou-se o intervalo entre o menor e o maior nmero de acessos realizados em cada endereo. Aps o clculo do valor mdio que representa o intervalo de classificao, foi realizada a classificao dos nveis segundo a probabilidade de ocorrncia, isto , quanto mais baixo o nmero de acessos menor a probabilidade de ocorrncia e quanto mais alto os acessos, maior a probabilidade de ocorrncia. Aps essa etapa foi realizada a interseco com o impacto sobre a rede, resultando no nmero de endereos acessados em cada nvel de interseco, montando assim a tabela probabilidade x impacto (PI),Tabela 5: Matriz de risco para o ms de abril.

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

139

Tabela 5: Matriz de risco para o ms de abril

A matriz PI Tabela 5: Matriz de risco para o ms de abril e Tabela 6: Matriz de risco para o ms de junho representa a interseco entre a probabilidade de ocorrncia e o impacto sobre a rede no ms de abril. possvel verificar que a regio onde apresenta o maior fator de risco no conta com endereos a serem monitorados, j a regio com fator de risco mdio apresenta dois endereos na interseco muito baixos e muito altos, e um endereo na interseco alto e muito baixo, significando, portanto que essa rea dever contar com uma efetiva monitorao. Na regio de fator de risco que no demanda monitoramento efetivo representa todo o restante dos endereos acessados. De acordo com a matriz PI que representa a interseco entre a probabilidade de ocorrncia e o impacto sobre a rede no ms de junho (Tabela 6), a regio onde apresenta o maior fator de risco, assim como na tabela anterior (Tabela 5) no conta com endereos a serem monitorados. J a regio com fator de risco mdio apresenta trs endereos na interseco muito baixos e muito altos, e um endereo na interseco alto e muito baixo, significando, portanto que essa rea dever contar com uma efetiva monitorao. Na regio onde o fator de risco no demanda monitoramento efetivo representa todo o restante dos endereos acessados. Tabela 6: Matriz de risco para o ms de junho

De acordo com a matriz PI que representa a interseco entre a probabilidade de ocorrncia e o impacto sobre a rede no ms de agosto, Tabela 7, verifica-se que tanto na regio que apresenta maior fator de risco como na regio onde o fator de risco mdio no conta com nenhum endereo acessado, ficando assim todos os acessos classificados na regio onde no se demanda nenhum monitoramento efetivo.
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

140

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

Tabela 7: Matriz de risco para o ms de agosto

O Quadro 4 apresenta as mdias de todos os acessos realizados nos meses analisados. Nota-se que a regio onde o fator de risco alto no conta com acessos cuja probabilidade de ocorrncia seja muito alta ou alta, nem com impacto muito alto ou alto sobre a rede. Entretanto, a regio onde o fator de risco baixo est representada pela probabilidade de ocorrncia baixa ou muito baixa com impacto baixo e muito baixo. Os eventos dessa regio requerem um monitoramento, pois foram identificados riscos. Apesar da probabilidade de ocorrncia ser muito baixa, eventos de tal natureza podem acarretar um impacto alto negativo na segurana do sistema estudado. O restante da matriz est representado pela regio onde a probabilidade de ocorrncia e impacto no requerem nenhuma ao de monitoramento. Quadro 4: Matriz de risco, comparativo dos meses abril, junho e agosto
PROB. OCORRNCIA MUITO ALTO ALTO BAIXO MUITO BAIXO NULO IMPACTO SOBRE A REDE - MDIA MESES ABRIL, JUNHO E AGOSTO MUITO ALTO ALTO BAIXO MUITO BAIXO NULO 0 0 0 2 0 0 0 0 0 0 0 0 0 1 1 0 1 1 2 0 179 377 606 123 201

O Grfico 5 aponta os fatores de risco existentes na rede em estudo. Nota-se que no h fatores de risco que necessitem ser mitigados. Entretanto, nos meses abril e junho, apesar de existir um percentual de risco de dois por cento da anlise, h necessidade que seja realizado um monitoramento, e a regio onde o fator de risco nulo esto representados pelo restante dos acessos.

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

141

Grfico 5: Riscos apresentados nos meses abril, junho e agosto

CINZA ESCURO 99,8%

CINZA MDIA 99,8%

BRANCO 100,0%

0,0% 0,2% ABRIL

0,0% 0,2% JUNHO

ABRIL 0 0,0% 3 0,2% 1261 99,8%

0,0% 0,0% AGOSTO

JUNHO 0 0,0% 4 0,2% 1603 99,8% AGOSTO 0 0,0% 0 0,0% 1607 100,0%

CINZA ESCURO CINZA MDIA BRANCO

Consideraes finais
A anlise apresentada neste trabalho mostrou que o nmero de acessos potencialmente danosos segurana do sistema estudado baixo, o que torna a probabilidade de ocorrncia de incidentes pequena. Entretanto, sabe-se que um nico acesso a um stio indevido pode colocar em risco a integridade dos sistemas e a segurana das informaes. digno de nota que o sistema estudado conta com protees como firewall e antivrus, alm da realizao peridica de back up das informaes e dos sistemas. Entretanto, no foi objetivo deste estudo avaliar as protees do SI estudado, mas apenas a questo dos riscos provenientes do comportamento dos usurios. Uma dos procedimentos usualmente adotados pelos gestores de TI para prevenir possveis incidentes e invases dos sistemas o bloqueio do acesso aos stios considerados imprprios ou perigosos. Entretanto, como alertam Nakamura e Geus (2007), a dinmica da internet e das tcnicas de invaso de sistemas torna esse procedimento pouco eficaz. Alm disso, esse

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

142

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

procedimento reativo e prescinde de algum sistema ter sido vtima de um incidente. Os resultados deste estudo de caso mostram que alm de todas as protees e cuidados com a segurana dos SIs, imperativo conscientizar os usurios quanto aos riscos que a navegao pela internet pode trazer ao sistema de TI. A combinao das ferramentas de defesa de TI com a o uso criterioso da navegao pela internet a melhor forma de preveno de incidentes e da reduo dos riscos segurana e integridade dos sistemas de informaes das organizaes.

Referncias
ABNT. ISO/IEC Guia 73:2009. Rio de Janeiro: Associao Brasileira de Normas Tcnicas, 2009. ABNT. NBR ISO/IEC 17799: Tecnologia da Informao Cdigo de Prtica para Gesto da Segurana da Informao. Rio de Janeiro: Associao Brasileira de Normas Tcnicas, 2001. ABNT. NBR ISO/IEC 27001:2006 Tecnologia da Informao Tcnicas de Sistema de Gesto de Segurana da Informao. Rio de Janeiro: Associao Brasileira de Normas Tcnicas, 2006. ABNT. NBR ISO/IEC 27005:2008 Tecnologia da Informao Tcnicas de Sistema de Gesto de Riscos da Segurana da Informao. Rio de Janeiro: Associao Brasileira de Normas Tcnicas, 2008. ALBERTIN, A. L.. Administrao da Informtica: funes e fatores crticos de sucesso. So Paulo: Atlas, 2009. BALLONI, A. J.. Por que Gesto de Sistemas e Tecnologia de Informao? Campinas: Editora Komedi, 2006. BRANDO, J. E. M. S.; FRAGA, J. S. VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais. Gramado, 2008. CERVO, A. L.; BERVIAN, P. A. Metodologia Cientfica. 4a ed. So Paulo: Makron Books, 1996. ENTRUST. Information Security Governance (ISG): An Essential Element of Corporate Governance. April, 2004. Disponvel em: <http://www.entrust.com/ governance>. Acesso em 27 de abril de 2010. FERNANDES, A. A., ABREU, V. F. Implantando a Governana de TI: da Estratgia Gesto dos Processos e Servios. Rio de Janeiro: Brasport, 2008.
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

143

FOINA, P. R. Tecnologia de Informao: Planejamento e Gesto. So Paulo: Atlas, 2009. FONTES, E. L. G. Praticando a Segurana da Informao. Rio de Janeiro: Brasport, 2008. FREITAS, H.; BECKER, J. L.; KLADIS, C. M. e HOPEN, N. Informao e Deciso: Sistemas de Apoio e seu impacto. Porto Alegre: Ortiz, 1997. LAUDON, Kenneth C.; LAUDON, Janet P. Sistemas de Informaes Gerenciais. Rio de Janeiro: Prentice Hall, 2004. MARTENS, C. D. P. A Tecnologia de Informao (TI) em Pequenas Empresas Industriais do Vale doTaquari/RS. Universidade Federal do Rio Grande do Sul. 2001. Disponvel em <http:www.lume.ufrgs.br>. Acesso em 04 de abril de 2010. MENDONA, M. C. S. A Percepo Gerencial sobre o modelo de gesto da segurana da informao de uma empresa pblica de TIC: perspectiva de evoluo para um modelo de governana. Universidade Catlica de Braslia, 2007. Disponvel em < http://bdtd.ibict.br>. Acesso em 06 de abril de 2010. MOREIRA, E. S.; BERNARDES, M. C. Um modelo para incluso da Governana da Segurana da Informao no escopo da Governana organizacional. So Paulo 2005. Disponvel em <http://www.neoreader.com.br>. Acesso em maio de 2010. NAKAMURA, E. T.; GEUS, P. L. Segurana de Redes de Computadores em Ambientes Cooperativos. So Paulo: Novatec, 2007. NIST. Information Security Handbook. A Guide for managers. Nist Special Publication, 800-100. Disponvel em:< http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-mar072007.pdf>. Acesso em 23 de set de 2010. OECD, Organization for Economic Co-operation and Development. Principles of Corporate Governance. 2004. Disponvel em: <http://www.oecd.org>. Acesso em 05 de abril de 2010. QUINTAIROS, P. C. R.; et. al. IT Governance in States Entreprises: A Study about the adoption of the ITIL Methodology in a Institution of higher Education. In: 7 CONTECSI International Conference on Information Systems and Technology Management: So Paulo, 2010. SOLER, A. M. et al. Gerenciamento de Risco em Projetos. Rio de Janeiro: FGV, 2006.
LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil

144

LATIN AMERICAN JOURNAL OF BUSINESS MANEGEMENT

SALL, M. IT Service Management and IT Governance: Review, Comparative Analysis and their Impact on Utility Computing. HP Research Labs Trusted. Disponvel em <http://www.hpl.hp.com/techreports/2004/hpl-2004-98.pdf>. Acesso em 15 de abril de 2010. SMOLA, M. Gesto da Segurana da Informao - Uma viso executiva. Rio de Janeiro: Elsevier, 2003. TAPSCOTT, D. ECONOMIA DIGITAL. So Paulo: Makron Books do Brasil Editora Ltda., 1997. WACK, J.; TRACEY, M.; SOUPPAYA, M.. Guideline on Network Security Testing. US Government Printing Office, 2001. NIST, Special Publication, 800-42. Disponvel em <http://csrc.nist.gov/publications/nistpubs/800-42SP800-42.pdf>. Acesso em 23 de set de 2010.

LAJBM v. 2, n. 2, p. 118-144, jul/dez/2011, Taubat, SP, Brasil