A Importância Da Segurança Da Informação para Uma Empresa de Ensino Público Estudo de Caso Na Escola Estadual de Ensino Fundamental e Médio "Professora Ana Portela

FACULDADE CAPIXABA DE NOVA VENCIA ADMINISTRAO
ROBERTO CARLOS TETZNER ZUMACKE SUANDER GOMES DE SOUZA VINCIUS BERGER
A IMPORTNCIA DA SEGURANA DA INFORMAO PARA UMA EMPRESA DE ENSINO PBLICO: ESTUDO DE CASO NA ESCOLA ESTADUAL DE ENSINO FUNDAMENTAL E MDIO PROFESSORA ANA PORTELA DE S
NOVA VENCIA 2012
Monografia apresentada ao curso de Graduao em Administrao da Faculdade Capixaba de Nova Vencia, como requisito final para obteno do grau de Bacharel em Administrao. Orientadora: Prof Thekeane Pianissoli
NOVA VENCIA 2012
FICHA CATALOGRFICA
Monografia apresentada ao curso de Graduao em Administrao da Faculdade Capixaba de Nova Vencia, como requisito final para obteno do grau de Bacharel em Administrao.
Aprovada em XX de dezembro de 2012
COMISSO EXAMINADORA
_________________________________________________ Prof Thekeane Pianissoli Faculdade Capixaba de Nova Vencia Orientadora
_________________________________________________ Prof Faculdade Capixaba de Nova Vencia Membro 1
_________________________________________________ Prof Faculdade Capixaba de Nova Vencia Membro 2
Dedicamos este trabalho primeiramente a Deus sem o qual no teramos conseguido realiz-lo e aos nossos pais que sempre nos educaram e incentivaram nossos estudos.
Agradeo primeiramente a Deus por ter me dado fora para alcanar meus objetivos e no ter desistido desta caminhada. Aos Professores e Mestres e a orientadora Thekeane, que se dedicaram muito em nos ajudar cedendo parte de seu tempo para transmitir os conhecimentos necessrios para nossa vida profissional. A famlia, principalmente minha me Lindaura Tetzner, meu pai Moacir Lick e meu pai Hilrio Zumacke e tambm aos amigos. Roberto Carlos Tetzner Zumacke Agradeo a Deus pelo dom da inteligncia e perseverana, dons que foram necessrios para que se alcanassem as metas desta monografia. Aos Professores e Mestres, a orientadora Thekeane , que dedicaram parte de seu tempo para transmitir parte de seus conhecimentos. A famlia, esposa e amigos que ajudaram direta ou indiretamente na realizao deste trabalho. Suander Gomes de Souza Agradeo a Deus por ter me ajudado a superar os desafios ao longo desta jornada. Por ter me colocado ao lado de professores e colegas que aperfeioaram meu perfil profissional. orientadora Thekeane por ter colaborado imensamente com o desenvolvimento deste trabalho. minha famlia que sempre me incentivou a estudar. Vincius Berger
RESUMO
O desenvolvimento deste trabalho tem por objetivo analisar a estrutura de segurana da informao da EEEFM Professora Ana Portela de S, localizada no municpio de Vila Pavo, no ano de 2012, com o intuito de investigar a confiabilidade do sistema, demonstrando a relevncia da utilizao de procedimentos de segurana no que tange ao sigilo das informaes digitais, utilizando polticas de segurana da informao eficientes e proporcionando assim, maior confiabilidade dos dados. Utilizou-se, para tanto, o emprego de uma pesquisa exploratria, descritiva, bibliogrfica e estudo de caso para averiguao dos resultados. Na obteno dos dados utilizou-se como instrumento metodolgico o uso de questionrios aplicados junto aos colaboradores. Para demonstrar a importncia das polticas de segurana para a instituio, se fez necessrio demonstrar por meio de conceitos e fundamentao o que um incidente de segurana da informao, bem como suas desastrosas consequncias. Dessa forma, utilizaram-se exemplos elaborados por autores renomados na rea de segurana, os quais demonstram que o emprego de simples prticas no cotidiano da instituio poder aumentar o nvel de confiabilidade dos dados armazenados em seu sistema. Ainda, para comprovar a importncia da segurana da informao para uma instituio de ensino pblico, fezse um estudo de caso para verificar atravs de anlise e comparao dos resultados obtidos quais polticas a empresa deve adotar a fim de evitar incidentes de segurana da informao. Por fim a pesquisa proporciona como resultado que, a empresa no utiliza polticas de segurana da informao capazes de proteger suas informaes das diversas ameaas existentes no ambiente.
PALAVRAS-CHAVE: Ameaa. Vulnerabilidade. Ambiente. Organizao.
ABSTRACT
The development of this paper is to analyze the structure of information security EEEFM "Professor Ana Portela de S", located in the municipality of Vila Pavo, in 2012, in order to investigate the reliability of the system, demonstrating the relevance of use of safety procedures regarding the confidentiality of digital information, using information security policies and efficient thus providing greater data reliability. We used to do so, the use of an exploratory, descriptive literature and case study to investigate the results. In obtaining the data was used as a methodological tool using questionnaires with employees. To demonstrate the importance of security policies for the institution was required to demonstrate by means of concepts and reasoning which is an information security incident and its disastrous consequences. Thus, we used examples drawn by renowned authors in the area of security, which demonstrate that the use of simple practices in everyday institution may increase the level of reliability of the data stored on your system. Still, to demonstrate the importance of information security to an institution of public education, became a case study to verify through analysis and comparison of the results which the company should adopt policies to prevent incidents of information security. Finally the research provides the result that the company does not use information security policies that protect your information from various threats in the environment.
KEYWORDS: Threat. Vulnerability. Ambient. Organization.
LISTA DE GRFICOS
GRFICO 1 GRFICO 2 GRFICO 3 GRFICO 4 GRFICO 5 GRFICO 6 GRFICO 7 GRFICO 8 GRFICO 9 POLTICA DE SEGURANA DA INFORMAO............................ 40 USO DE ANTIVRUS....................................................................... 40 PERMISSO DE ADMINISTRADOR DO SISTEMA....................... 41 ACESSO SALA DOS ATIVOS DE INFORMAO....................... 41 USO DE BACKUP........................................................................... 42 ACESSO A ARQUIVOS E PASTAS DE OUTROS SETORES........ 42 CAPACITAO E TREIMAMENTO DOS COLABORADORES...... 43 ACESSO A INTERNET................................................................... 43 USO DE E-MAIL.............................................................................. 44
GRFICO 10 - ACESSO AO SISTEMA NO COMPUTADOR.................................. 44 GRFICO 11 - ATAQUE DE VRUS AOS ATIVOS DE INFORMAO................... 45 GRFICO 12 - REAO DO SISTEMA AO ATAQUE DE VRUS........................... 46
SUMRIO 1
1.1 1.2 1.3 1.4 1.4.1 1.4.2 1.5 1.6 1.6.1 1.6.2 1.6.3 1.6.4 1.6.5 1.6.6 1.7
INTRODUO........................................................................................ 11
JUSTIFICATIVA DO TEMA.......................................................................... 12 DELIMITAO DO TEMA............................................................................ 12 FORMULAO DO PROBLEMA................................................................. 13 OBJETIVOS................................................................................................. 13 OBJETIVO GERAL........................................................................................... 13 OBJETIVOS ESPECFICOS................................................................................ 13 HIPTESE................................................................................................... 14 METODOLOGIA.......................................................................................... 14 CLASSIFICAO DA PESQUISA......................................................................... 14 TCNICAS PARA COLETA DE DADOS................................................................. 15 FONTES PARA COLETA DE DADOS.................................................................... 16 CARACTERIZAO DA AMOSTRA COLETADA..................................................... 17 INSTRUMENTOS PARA COLETA DE DADOS......................................................... 17 POSSIBILIDADE DE TRATAMENTO DOS DADOS................................................... 18 APRESENTAO DO CONTEDO DAS PARTES.................................... 18
2
2.1 2.1.1 2.1.2 2.1.3
REFERENCIAL TERICO................................................................... 19
SEGURANA DA INFORMAO............................................................... 19 SEGURANA FSICA........................................................................................ 19 SEGURANA DE ARMAZENAMENTO.................................................................. 20 SISTEMA DE SEGURANA DA INFORMAO....................................................... 21
2.1.3.1 CONFIDENCIALIDADE...................................................................................... 21 2.1.3.2 INTEGRIDADE................................................................................................. 22 2.1.3.3 DISPONIBILIDADE............................................................................................ 22 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 INCIDENTE DE SEGURANA DA INFORMAO.................................... 23 ATIVO DE INFORMAO................................................................................... 23 VULNERABILIDADE......................................................................................... 24 AMEAA........................................................................................................ 24 GESTO DE RISCOS................................................................................. 25 POLTICAS DE SEGURANA DA INFORMAO..................................... 26
2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6 2.4.7 2.4.8 2.4.9
PONTOS CRTICOS PARA O SUCESSO............................................................... 27 TREINAMENTO, PUBLICAO E DIVULGAO.................................................... 28 CLASSIFICAO DAS INFORMAES................................................................ 29 PUBLICAO DAS INFORMAES NA WEB........................................................ 31 PERDA OU ROUBO DE INFORMAES............................................................... 31 UTILIZAO DOS RECURSOS DE TI................................................................... 31 PROTEO CONTRA SOFTWARE MALICIOSO..................................................... 32 PROCEDIMENTOS PARA ACESSO A INTERNET.................................................... 33 PROCEDIMENTOS PARA USO DO CORREIO ELETRNICO..................................... 33
ACESSO AOS
2.4.10 GERENCIAMENTO, CONTROLE DA REDE, MONITORAO DO USO E
SISTEMAS......................................................................................................
34
3
3.1 3.2
APRESENTAO
ANLISE
DOS
DADOS
DA
PESQUISA............................................................................................... 36
HISTRICO DO MUNICPIO - VILA PAVO-ES........................................ 36 HISTRICO DA ESCOLA ESTADUAL DE ENSINO FUNDAMENTAL E MDIO PROFESSORA ANA PORTELA DE S....................................... 36 3.3 3.4 APRESENTAO DOS DADOS DA PESQUISA....................................... 39 ANLISE DOS DADOS DA PESQUISA...................................................... 46
4
4.1 4.2
CONCLUSO E RECOMENDAES............................................. 50
CONCLUSO.............................................................................................. 50 RECOMENDAES................................................................................... 51
REFERNCIAS....................................................................................... 53
APNDICE........................................................................................................... 54
APNDICE A QUESTIONRIO.......................................................................... 55
11
1 INTRODUO
A informao um dos principais ativos de uma organizao por isso sua segurana de vital importncia. Para isso ser feito de forma efetiva inicialmente a empresa deve substituir seus arquivos de ferro por computadores, dessa forma suas informaes sero migradas de seus arquivos fsicos, que ocupam muito espao e tem pouca capacidade de armazenamento para computadores, que tem uma grande capacidade de armazenamento e ocupam um espao muito pequeno. Com essa migrao a empresa passa a ter maior segurana, mais agilidade nos processos, mais praticidade, conforto, maior controle sobre suas informaes, etc.
Alm disso, o atual mundo globalizado cheio de mudanas rpidas e constantes exige que as empresas em sua grande maioria estejam conectadas constantemente internet para, realizar transaes, enviar e-mails, receber e-mails, entre outros, ou seja, manter-se informada, porm todas essas vantagens podem vir acompanhadas de um grande nmero de ameaas que podem causar srios problemas. Por exemplo: da mesma forma que uma empresa usa a internet para realizar suas transaes, indivduos mal intencionados podem usar este mesmo meio para acessar os computadores dessa empresa para roubar ou destruir as suas informaes.
Alm dos problemas virtuais advindos da utilizao dos computadores devido aos perigos relacionados ao acesso internet as empresas ainda tem que lidar com problemas fsicos, pois computadores so mquinas que precisam de energia eltrica para funcionar, portanto um alagamento ou os raios de uma tempestade podem danificar os componentes de um computador e comprometer as informaes armazenadas nele, ou ainda a falta da energia eltrica pode parar o funcionamento da empresa por certo perodo de tempo comprometendo seus negcios.
Portanto este trabalho visou analisar a estrutura de segurana da informao da EEEFM Professora Ana Portela de S, com o intuito de investigar a confiabilidade do sistema, se foi eficiente e eficaz ou se apresentou alguma deficincia ou ameaa, proporcionando assim possveis solues em caso de problemas identificados.
12
1.1 JUSTIFICATIVA DO TEMA
A concorrncia, a necessidade de constante aperfeioamento, a globalizao e a evoluo dos meios de comunicao geram diversas inovaes, muitas vezes utilizadas por indivduos mal intencionados que culminam em possveis ameaas as informaes de uma empresa.
So cada vez mais constantes as notcias nos diversos meios de comunicao sobre grupos ou indivduos que paralisam servios de grandes empresas, invadem seus bancos de dados, roubam suas informaes e at mesmo em alguns casos publicam essas informaes na internet.
A situao pode ficar ainda pior, pois esses grupos e indivduos muitas vezes adquirem seguidores - o fato de conseguir informaes sombrias de uma empresa e public-las na rede mundial com certeza traz admirao popular - dessa forma temos um impasse, para uns so heris, para outros viles. De qualquer forma essas aes no so legais e a inteno deste trabalho no julgar as intenes maldosas ou no destes indivduos.
A informao o um dos ativos mais preciosos de uma organizao, mant-la a salvo vital para a continuidade do negcio, com a utilizao de boas praticas de segurana a empresa no estar totalmente imune, mas poder inibir ou desencorajar intenes maliciosas contra suas informaes, dessa forma justificouse este tema como sendo de grande importncia para todos os tipos de empresas, principalmente aquelas que entendem a relevncia de suas informaes.
1.2 DELIMITAO DO TEMA
A presente pesquisa pretendeu mostrar atravs de um estudo de caso com os colaboradores do setor administrativo da EEEFM Professora Ana Portela de S, quais so as polticas de segurana da informao que a Instituio adotou para se manter a salvo dos perigos de um mundo altamente tecnolgico e globalizado,
13
sendo que esse estudo foi realizado no municpio de Vila Pavo-ES no perodo de setembro a outubro do ano de 2012.
1.3 FORMULAO DO PROBLEMA
As ferramentas tecnolgicas advindas das inovaes tecnolgicas so criadas para o bem, mas so usadas na mesma proporo para o mal. Dessa forma, indaga-se: Em um cenrio hostil como o atual, quais so as polticas de segurana da informao que a Escola Estadual de Ensino Fundamental e Mdio Professora Ana Portela de S adota para manter a integridade de suas informaes, essas polticas so realmente eficientes e eficazes?
1.4 OBJETIVOS
1.4.1 OBJETIVO GERAL Analisar a estrutura de segurana da informao da EEEFM Professora Ana Portela de S, com o intuito de investigar a confiabilidade do sistema, se eficiente e eficaz ou se apresenta alguma deficincia ou ameaa, proporcionando assim possveis solues em caso de problemas identificados.
1.4.2 OBJETIVOS ESPECFICOS
Descrever as ameaas ao sistema lgico; Identificar as ameaas do ambiente natural; Descrever a segurana fsica e do ambiente; Identificar as polticas de segurana da informao; Identificar as melhores alternativas para a proteo dos dados armazenados no sistema.
14
1.5 HIPTESE Segundo Gil (2002, p. 31) hiptese a proposio testvel que pode vir a ser a soluo do problema.
Com o propsito de identificar as polticas de segurana da informao e analisar as melhores alternativas para a proteo dos dados armazenados no sistema da instituio, a presente pesquisa trabalhou com a seguinte hiptese: A EEEFM Professora Ana Portela de S entende que existem diversas ameaas que trazem risco suas informaes, portanto busca as melhores prticas de segurana, que de forma resumida podemos citar:
Utilizao de software antivrus devidamente atualizado; Controle de acesso s informaes atravs de usurio e senha; Utiliza tcnicas de treinamento nos diversos recursos de TI para evitar danos a seus ativos de informao; Faz uso de backups para manter cpias de segurana de suas informaes; Conscientiza seus colaboradores no uso do correio eletrnico e no uso da internet; Utiliza mtodos de bloqueio para evitar que colaboradores instalem softwares de terceiros ou que no possuam devido licenciamento.
1.6 METODOLOGIA
1.6.1 CLASSIFICAO DA PESQUISA
Essa pesquisa teve como objetivo buscar respostas e atravs do tratamento destas respostas foram encontrados recursos que proporcionaram a soluo adequada para o problema apresentado.
15
De acordo com Andrade (2001, p. 121), pesquisa o conjunto de procedimentos sistemticos, baseado no raciocnio lgico, que tem por objetivo encontrar solues para problemas propostos, mediante a utilizao de mtodos cientficos.
Para melhor entendimento, essa pesquisa foi classificada como exploratria e descritiva, sendo assim Andrade (2001, p. 124), define pesquisa exploratria como:
A pesquisa exploratria o primeiro passo de todo o trabalho cientfico. So finalidades de uma pesquisa exploratria, sobretudo quando bibliogrfica, proporcionar maiores informaes sobre determinado assunto; facilitar a delimitao de um tema de trabalho; definir os objetivos ou formular as hipteses de uma pesquisa ou descobrir novo tipo de enfoque para o trabalho que se tem em mente.
Dessa forma, para melhor entendimento do tema, a classificao da pesquisa em primeira instancia foi apontada como exploratria para se obter um conceito sobre o tema e consequentemente aumentar a compreenso respeito do mesmo. Andrade (2001, p. 124), afirma que na pesquisa descritiva, os fatos so observados, registrados, analisados, classificados e interpretados, sem que o pesquisador interfira neles.
A pesquisa descritiva utilizada para mostrar o que est acontecendo e como a pesquisa foi realizada, pois no momento da coleta de dados so feitos a anlise, a tabulao, a interpretao e o registro dos dados adquiridos por intermdio dos questionrios.
Portanto, a pesquisa pode ser classificada como bibliogrfica, pois foi baseada em obras de outros autores e descritiva, pois dados foram coletados, analisados, interpretados e classificados.
1.6.2 TCNICAS PARA A COLETA DE DADOS
Para atender as exigncias da pesquisa, as tcnicas utilizadas para a coleta de dados foram a pesquisa bibliogrfica e o estudo de caso.
16
Conforme Barros e Lehfeld (2000, p. 70), pesquisa bibliogrfica a que se efetua tentando-se resolver um problema ou adquirir conhecimentos a partir do emprego predominante de informaes advindas de material grfico, sonoro e informatizado.
Caracterizou-se como pesquisa bibliogrfica pelo uso de materiais j publicados como livros, normas tcnicas e documentos eletrnicos que abordam o tema escolhido a fim de aumentar o nvel de conhecimento sobre o assunto.
O estudo de caso permite que atravs da anlise de um grupo se obtenha resultados por meio de observao e pesquisa. Para Gil (2002, p. 54) o estudo de caso uma modalidade de pesquisa amplamente utilizada nas cincias sociais. Consiste no estudo profundo e exaustivo de um ou poucos objetos.
A finalidade deste estudo de caso foi de realizar uma pesquisa com os colaboradores dos setores administrativos da EEEFM Professora Ana Portela de S a fim de saber atravs destes indivduos se a instituio faz uso de polticas de segurana para manter a integridade de seus ativos de informao.
1.6.3 FONTES PARA COLETA DE DADOS
As fontes para coleta de dados podem ser classificadas como primrias e secundrias.
Utilizou-se nesta pesquisa dados primrios, pois os dados foram analisados pela primeira vez e dados secundrios devido utilizao de informaes bibliogrficas de outras pesquisas.
Para Andrade (2001), fontes primrias so obras, textos ou materiais ainda no trabalhados sobre um determinado tema que vo compor outras obras formando assim uma literatura ampla sobre aquele determinado assunto.
17
A fonte primria utilizada nesta pesquisa foi o questionrio aplicado junto aos colaboradores da instituio no intuito de coletar as informaes necessrias para justificar os objetivos propostos. Andrade (2001, p. 43) afirma, as fontes secundrias referem-se a determinadas fontes primrias, isto , so constitudas pela literatura originada de determinadas fontes primrias e constituem-se em fontes das pesquisas bibliogrficas.
As fontes secundrias foram utilizadas para o embasamento terico que constitui grande importncia e indispensvel para esta pesquisa.
1.6.4 CARACTERIZAO DA AMOSTRA COLETADA O estudo de caso foi desenvolvido junto EEEFM Professora Ana Portela de S, situada no municpio de Vila Pavo-ES, no perodo de setembro a outubro de 2012. Onde realizou-se uma pesquisa com a aplicao de um questionrio com perguntas fechadas direcionado aos 12 (doze) funcionrios que atuam no setor administrativo da instituio. A pesquisa abordou 100% da sua amostra, possibilitando um nvel mximo de segurana com margem de erro praticamente nula.
1.6.5 INSTRUMENTO PARA A COLETA DE DADOS
Afim de melhor demonstrar o contedo da pesquisa, fez-se a utilizao de um questionrio com perguntas fechadas junto aos funcionrios do setor administrativo da EEEFM Professora Ana Portela de S como instrumento para a coleta de dados. Para Andrade (2001, p. 149), perguntas fechadas so aquelas que indicam trs ou quatro opes de resposta ou se limitam resposta afirmativa ou negativa e j trazem espaos destinados marcao da escolha.
18
1.6.6 POSSIBILIDADE DE TRATAMENTO DOS DADOS
Aps a coleta, os dados foram inseridos no Microsoft Excel que por fim geraram grficos possibilitando a anlise e a interpretao dos mesmos. A partir de ento foi possvel realizar comentrios e traar um paralelo com o referencial terico pesquisado. Com base nisto elaborou-se um parecer final a respeito do tema para ser confrontado com a hiptese a fim de averiguar a sua legitimidade.
1.7 APRESENTAO DO CONTEDO DAS PARTES
A primeira parte do trabalho foi constituda por uma introduo onde exposta uma pequena explanao sobre o tema abordado e um esboo dos contedos pesquisados, composto pela apresentao do problema, dos objetivos gerais e especficos e sua hiptese, bem como a metodologia utilizada na pesquisa.
Em seguida foi apresentado o contedo terico dos tpicos abordados, realizados atravs de pesquisas bibliogrficas principalmente em livros e normas tcnicas.
Na terceira parte foi exposto o estudo de caso juntamente com a anlise e a interpretao dos dados coletados fazendo-se uso das devidas fundamentaes tericas.
Na ltima parte foi apresentada uma concluso e logo aps propostas de possveis temas para futuras pesquisas e sugestes para a segurana das informaes da organizao.
19
2 REFERENCIAL TERICO
2.1 SEGURANA DA INFORMAO
Alves e Zambalde (2007) abordam que a segurana da informao no se resume apenas parte lgica computacional, informaes adicionadas aos sistemas, mas tambm parte fsica, desde uma sala bem protegida, localizao adequada, senhas, limite de acesso, para-raios, enfim, tudo aquilo que zela para que a informao no se perca, ou no caia em mos de pessoas erradas.
Embora muitas vezes associamos segurana puramente computacional, a segurana da informao, alm de incorporar os dados armazenados em sistemas e as operaes que os manuseiam, tambm aborda a proteo de todos os ativos fsicos que do subsdios ao tratamento dos ativos de informao (ALVES; ZAMBALDE, 2007, p. 61).
Segundo Fontes (2006, p. 11), segurana da informao um conjunto de orientaes, normas, procedimentos e polticas de segurana que tem como objetivo proteger os recursos de informao da organizao, permitindo assim a continuao de seu negcio e consequentemente que sua misso seja alcanada .
2.1.1 SEGURANA FSICA
A segurana fsica visa proporcionar uma espcie de barreira/escudo para impedir algum dano s informaes. Esses prejuzos podem ser tanto naturais como pessoais, como por exemplo, de forma natural podem ocorrer enchentes, alagamentos, raios, incndios, falhas de equipamentos, exploses, enfim, podendo danificar equipamentos importantes como os servidores, onde ficam concentradas as principais informaes que alimentam o sistema.
Os danos pessoais podem ocorrer de diversas maneiras, como por exemplo, em acidentes, acesso no autorizado, falta de informao e descuido, novamente podendo comprometer equipamentos de extrema importncia.
20
Todos esses problemas causados de forma voluntria ou involuntria, natural ou pessoal so estudados cuidadosamente para que no ocorram, preservando ao mximo a integridade da informao, que o bem em debate. E de acordo com Alves e Zambalde (2007, p. 61):
A segurana fsica trata de todos os ativos que suportam o tratamento de informaes em uma organizao. Seu objetivo prevenir estes ativos de acesso fsico no autorizado, danos e interferncias que possam trazer prejuzos.
Segundo CISSP (apud ALVES; ZAMBALDE, 2007, p. 62), procedem muitas formas e mtodos de cuidados, segurana e preservao das informaes dentro de um ambiente fsico, que por sua vez deve ser um ambiente que abrigue uma estrutura tecnolgica com dados da empresa. E para que isso ocorra de maneira satisfatria necessrio que haja um planejamento de segurana de ambiente, visando a garantia fsica de ativos.
A forma de identificar esse leque de possibilidades de segurana da informao no que diz respeito a parte fsica, atravs de um Planejamento de Segurana de Ambiente ou Plano de Segurana de Ambientes que fornece sugestes de assegurar a integridade de uma instituio mantendo intactas as informaes nela contida. Alm de apontar maneiras de completar medidas importantes a serem aplicadas, como a localidade, chaves e travas, detectores de movimentos, alarmes, energia, rudo e umidade.
2.1.2 SEGURANA DE ARMAZENAMENTO
Sabe-se que um dos bens mais importantes de uma organizao so as informaes, sendo assim faz-se necessrio ter uma segurana redobrada no armazenamento destes dados.
Segundo Silva (2011), uma forma segura de ter esses dados salvos atravs de cpias de salvaguardas, ou o que chamamos de backup, que nada mais do que copiar os arquivos do seu computador para outro dispositivo seguro.
21
Atualmente, a maioria dos computadores possui uma unidade gravadora de DVD, no qual o DVD uma mdia de custo extremamente baixo, o que tambm ajuda no processo de backup.
Silva (2011) ainda menciona que necessrio fazer pelo menos dois backups com os mesmos arquivos, dessa forma, se houver algum problema no primeiro, ainda tem-se o segundo backup. E ainda deve-se providenciar um terceiro backup com os arquivos ainda em acabamento, dessa forma eu tenho um custo/ benefcio melhor, pois eu no salvo arquivos inacabados ocupando espao em outros backups, porm depois de concludos estes arquivos devem ser salvos de forma completa em outro backup, e assim de tempo em tempo deve-se fazer backups de segurana. Ainda segunda Silva (2011), necessrio identificar de quanto em quanto tempo deve-se realizar estes backups de segurana.
2.1.3 SISTEMA DE SEGURANA DA INFORMAO
A NBR ISO/IEC 27001 define sistema de gesto de segurana da informao como sendo a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS, 2006, p. 3). Segundo Campos (2007, p. 17), um sistema de segurana da informao baseia -se em trs princpios: confidencialidade, integridade e disponibilidade.
2.1.3.1 CONFIDENCIALIDADE O princpio da confidencialidade garantido quando apenas as pessoas explicitamente autorizadas podem ter acesso informao (CAMPOS, 2007, p. 17). Ainda Campos (2007) ainda explica que se alguma informao for acessada por um indivduo no-autorizado, mesmo que sem inteno, diz-se que ocorreu um incidente de segurana da informao por quebra de confidencialidade.
22
Dessa forma, as informaes presentes em um sistema no devem estar disponveis a todos os usurios, pelo contrrio, cada informao tem um destinatrio ou grupo de destinatrios especficos. Isso significa que o responsvel pelo sistema definir o perfil dos indivduos que tero permisso de visualizar as informaes.
Exemplos de quebra de confidencialidade podem ser observados quando ocorrem invases em sistemas de computador, realizadas por indivduos mal intencionados, a fim de obter dados e informaes sigilosas.
2.1.3.2 INTEGRIDADE O princpio da integridade garantido quando a informao acessada est completa, sem alteraes e, portanto, confivel (CAMPOS, 2007, p. 18). Com isso, se uma informao alterada de maneira imprpria, seja por um indivduo mal intencionado ou por acidente, tornando-a inverdica de certa forma, houve um incidente de segurana da informao, pois o princpio da integridade foi desrespeitado (CAMPOS, 2007).
2.1.3.3 DISPONIBILIDADE O princpio da disponibilidade garantido quando a informao est acessvel, por pessoas autorizadas, sempre que necessrio (CAMPOS, 2007, p. 19). Dessa forma, a informao deve estar disponvel sempre que solicitada, desde que o acesso esteja autorizado para o requerente. Caso contrrio ocorrer um incidente de segurana da informao por quebra de disponibilidade.
Nem sempre os incidentes ocorrem devido a um ataque intencional ao sistema, pois como j foi mencionado, comum acontecerem problemas fsicos nos
computadores, o que acaba por deixar o sistema inoperante. Mesmo nessas condies, quando no existe um indivduo mal intencionado tentando burlar a segurana, classifica-se a situao como um desrespeito ao princpio de disponibilidade. Outros exemplos de indisponibilidade podem ser verificados em
23
desastres naturais, tais como incndios e enchentes nos locais onde esto alocados os ativos de informao.
2.2 INCIDENTE DE SEGURANA DA INFORMAO
Conforme a NRB ISO/IEC 27001, publicada em maro de 2006 e com validade a partir de abril de 2006, um incidente de segurana da informao consiste em um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS, 2006, p. 2).
2.2.1 ATIVO DE INFORMAO
A informao propriamente dita, segundo Campos (2007), um componente abstrato que depende dos ativos de informao para existir, ou seja, depende de meios fsicos tais como equipamentos, cadernos, livros, pessoas e ondas de rdio, por exemplo. Dessa forma, verifica-se que to importante quanto a informao o meio que a suporta.
J que as organizaes denominam seus bens patrimoniais como ativos em funo de seu valor, da mesma forma a informao e os mecanismos de comunicao podem ser chamados de ativos de informao, pois seu valor por muitas vezes maior do que o valor dos bens patrimoniais (CAMPOS, 2007, p. 21).
Campos (2007) ainda afirma que para atingir o sucesso, a organizao deve preservar e proteger seus ativos de informao j que eles do suporte existncia das informaes, as quais representam valor e, consequentemente, contribuem para a gerao de lucro.
24
2.2.2 VULNERABILIDADE Os ativos de informao, que suportam os processos de negcio, possuem vulnerabilidades. importante destacar que essas vulnerabilidades esto presentes nos prprios ativos, ou seja, que so inerentes a eles, e no de orige m externa (CAMPOS, 2007, p. 23). Assim, as vulnerabilidades representam as fraquezas inerentes aos ativos de informao que podem ser exploradas por terceiros, resultando na quebra de um ou mais princpios de segurana da informao (CAMPOS, 2007). Segundo Soares et al (apud GONALVES, 2002, p. 64) vulnerabilidade qualquer fraqueza que pode ser explorada para se violar um sistema ou as informaes que ele contm, alterando e causando dano qualquer integridade da mesma.
Gonalves (2002) conclui que as vulnerabilidades de um sistema podero ocasionar incidentes de segurana da informao que influenciaro negativamente os negcios da empresa, alm de impactar diretamente os produtos fabricados, os clientes e a imagem da empresa no mercado. Segundo Moreira (apud GONALVES, 2002, p. 64), em se tratando de vulnerabilidades existentes na organizao, cada uma delas pode permitir a ocorrncia de determinados incidentes de segurana. Dessa forma, o mesmo autor (apud GONALVES, 2002) esclarece que cada falha existente no sistema de segurana da informao representa uma vulnerabilidade que pode ser explorada por pessoas mal intencionadas, as quais so denominadas ameaas.
2.2.3 AMEAA A ameaa um agente externo ao ativo de informao, que se aprov eitando de suas vulnerabilidades poder quebrar a confidencialidade, integridade ou disponibilidade da informao suportada ou utilizada por esse ativo (CAMPOS, 2007, p. 25). Campos (2007) ainda menciona alguns exemplos de ameaas como fraudadores, espies, sabotadores, incndios, enchentes e vrus, alm de enfatizar
25
que pouco se pode fazer para acabar com elas devido ao fato de estarem fora do raio de ao do responsvel pelo sistema. Segundo Luz (apud GONALVES, 2002, p. 65) uma ameaa consiste de um a possvel violao da segurana de um sistema.
2.3 GESTO DE RISCOS Segundo Alves e Zambalde (2007, p. 20), gesto de riscos o processo de identificao e tratamento de riscos de forma sistemtica e contnua. Alves e Zambalde (2007) ainda explicam que a caracterstica de continuidade na definio de gesto de riscos diz respeito s constantes mudanas que ocorrem no ambiente em que o sistema est inserido. Segundo eles, diariamente surgem novas necessidades, novas tecnologias e consequentemente novas ameaas e
vulnerabilidades que precisam ser constantemente verificadas e tratadas. J o carter sistemtico, outro importante aspecto no processo de gesto de riscos, garante que as etapas e atividades sejam bem definidas e implantadas.
De acordo com Alves e Zambalde (2007, p. 21):

A gesto de riscos engloba uma srie de atividades que se relacionam forma como a organizao lida com os riscos. Ela cobre todo o ciclo de vida do tratamento de riscos, que vai desde a identificao at a sua comunicao s partes envolvidas.
Vale mencionar que no possvel eliminar os riscos completamente, tampouco identific-los em sua totalidade. Isso porque os riscos esto estritamente relacionados s ameaas e vulnerabilidades, sendo estas previsveis e identificveis, porm aquelas, imprevisveis (CAMPOS, 2007). A poro de risco no tratada pelo processo de gesto de riscos chamada de risco residual (ALVES; ZAMBALDE, 2007, p. 21). Dessa forma, o grande objetivo da gesto de riscos fazer com que os riscos residuais cheguem a um nvel de aceitao tolervel, levando em considerao as prioridades da empresa, seu ramo de atuao e o valor dos ativos de informao (ALVES; ZAMBALDE, 2007).
26
2.4 POLTICAS DE SEGURANA DA INFORMAO
Existe uma vasta quantidade de polticas de segurana que podem ser aplicadas a uma organizao e a aplicao dessas polticas depende do tipo de informao que se pretende proteger, portanto aqui sero mostradas as principais e mais importantes, ou seja, aquelas que de forma alguma podem faltar para que haja o bsico na segurana da informao de uma instituio.
importante lembrar que as organizaes tem interesses diferentes que definem suas metas e objetivos, portanto todas essas particularidades devem ser levadas em considerao no momento da constituio das polticas de segurana da informao de uma organizao.
Ferreira e Arajo (2008, p. 36), argumentam que:

A Poltica de Segurana define o conjunto de normas, mtodos e procedimentos utilizados para a manuteno de segurana da informao devendo ser formalizada e divulgada a todos os usurios que fazem uso dos ativos de informao.
A poltica de segurana uma ferramenta que busca prevenir e evitar riscos, dessa forma sua implantao deve ser feita o quanto antes, cada evoluo tecnolgica traz diversos benefcios bem como vrias ameaas e a empresa deve estar ciente dessa situao para tomar atitudes preventivas.
Ferreira e Arajo (2008, p. 37), afirma que:

A poltica, preferencialmente, deve ser criada antes da ocorrncia de problemas com a segurana, ou depois, para evitar reincidncias. Ela uma ferramenta tanto para prevenir problemas legais como para documentar a aderncia ao processo de controle de qualidade.
Nem todos os colaboradores da instituio tem um amplo conhecimento tcnico para entender as normas inseridas em uma poltica de segurana, portanto a simplicidade e a objetividade so pontos fundamentais para alcanar um alto nvel de entendimento bem como a execuo das polticas por parte dos indivduos que estaro submetidos a ela.
27
Ferreira e Arajo (2008, p. 37), ressaltam que as polticas de segurana devem ser:
Simples; Compreensveis (escrita de maneira clara e concisa); Homologadas e assinadas pela Alta Administrao; Estruturadas de forma a permitir a sua implantao por fases; Alinhadas com as estratgias de negcio da empresa, padres e procedimentos j existentes; Orientadas aos riscos (qualquer medida de proteo das informaes deve direcionar para riscos da empresa); Flexveis (moldveis aos novos requerimentos de tecnologia e negcios); Protetores dos ativos de informaes, priorizando os de maior valor e de maior importncia; Positivas e no apenas concentradas em aes proibitivas ou punitivas.
Futuramente pode haver a necessidade da expanso ou reestruturao da poltica de segurana, portanto esses pontos devem ser levados em considerao antes da estruturao da poltica.
2.4.1 PONTOS CRTICOS PARA O SUCESSO
Estabelecer e implantar uma poltica de segurana um passo fundamental para o gerenciamento de riscos de uma instituio, porm existem vrios outros fatores que primeiramente devem ser levados em considerao no intuito de alcanar o sucesso na proteo das informaes da empresa, sendo assim importante realizar um estudo sobre estes fatores.
Ferreira e Arajo (2008, p. 44), citam alguns destes:
Formalizao dos processos e instrues de trabalho; Utilizao de tecnologias capazes de prover segurana; Atribuio formal das responsabilidades e das respectivas penalidades; Classificao das informaes; Treinamento e conscientizao constantes.
Para Ferreira e Arajo (2008), existem alguns conceitos ou princpios que devem ser estudados para se implementar uma poltica de segurana, alguns j foram estudados anteriormente, porm ainda existe outro conceito chamado de no repdio que diz que o usurio gerador ou transformador de determinada informao no pode negar este fato, visto que existem mecanismos que garantem sua autoria.
28
Porm o estudo desses princpios por si s no garante uma efetiva poltica de segurana, por isso em adio aos princpios algumas caractersticas tambm devem ser estudadas.
Ferreira e Arajo (2008, p. 45), enumeram os aspectos da segurana:
Segurana computacional: conceitos e tcnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuzo; Segurana lgica: preveno contra acesso no autorizado; Segurana fsica: procedimentos e recursos para prevenir acesso no autorizado, dano e interferncia nas informaes e instalaes fsicas da organizao; Continuidade de negcios: estrutura de procedimentos para reduzir, a um nvel aceitvel, o risco de interrupo ocasionada por desastres ou falhas por meio da combinao de aes de preveno e recuperao.
Estes aspectos so fundamentais, pois futuramente iro auxiliar o processo de classificao das informaes.
2.4.2 TREINAMENTO, PUBLICAO E DIVULGAO
Para que uma poltica de segurana seja efetiva, ela deve ser entendida e usada por todos que de uma forma ou de outra fazem parte da organizao, a falha de um destes poder comprometer a estrutura da poltica e consequentemente a segurana das informaes da empresa.
De acordo com a norma ISO/IEC 27002 (2005, p. 28), deve-se:

Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da informao da organizao durante seus trabalhos normais, e para reduzir o risco de erro humano.
Segundo Ferreira e Arajo (2008) mesmo que haja diversas tecnologias para a proteo das informaes, o elemento humano fundamental, pois o usurio quem vai tratar a informao, portanto, se o treinamento dos colaboradores for eficaz, consequentemente a poltica de segurana ser bem sucedida.
29
Ferreira e Arajo (2008, p. 47), dizem que:

Todos os funcionrios da organizao, terceiros e prestadores de servios devem receber treinamento apropriado e atualizaes regulares sobre as polticas corporativas. Isso inclui requisitos de segurana, responsabilidades legais e controle do negcio, bem como treinamento sobre o uso correto dos recursos de Tecnologia da Informao [...].
A organizao deve assegurar que todos os usurios saibam como proteger os ativos de informao da empresa atravs das polticas de segurana da informao.
2.4.3 CLASSIFICAO DAS INFORMAES
Com o processo de classificao a empresa consegue separar as informaes que tem maior valor daquelas que no so to importantes e mediante isso alocar os recursos de proteo de forma correta e eficaz.

A classificao da informao o processo de estabelecer o grau de importncia das informaes mediante seu impacto no negcio, ou seja, quanto mais estratgica e decisiva para a manuteno e sucesso da organizao, maior ser sua importncia. A classificao deve ser realizada a todo instante, em qualquer meio de armazenamento.
importante efetuar um amplo estudo do negcio e das atividades da empresa antes de iniciar o processo de classificao das informaes.
Ferreira e Arajo (2008), dizem que a classificao das informaes deve ser clara, simples, e sem excessos, pois isso ajuda a evitar confuses e resistncias no momento da implantao alm de facilitar a compreenso e diferenciao entre elas.
Os nveis de classificao buscam dividir as informaes mediante seu grau de importncia, isso se faz necessrio, pois atravs dessa classificao que a empresa ir alocar seus recursos de proteo, ou seja, mais recursos para informaes mais importantes, menos recursos ou nenhum para informaes menos importantes.
30
Ferreira e Arajo (2008, p. 80), definem os nveis de classificao como:

Classe 1: Informao pblica. So aquelas que no necessitam de sigilo algum, podendo ter livre acessa para os colaboradores. No h necessidade de investimentos em recursos de proteo. So informaes que, se forem divulgadas fora da organizao, no tero impactos para os negcios. [...] Classe 2: Informao interna. O acesso s informaes deve ser evitado. Entretanto, se esses dados tornarem-se pblicos, as consequncias no sero crticas. A integridade dos dados vital. [...] Classe 3: Informao confidencial. As informaes dessa classe devem ser confidenciais dentro da organizao e protegidas do acesso externo. Se alguns desses dados forem acessados por pessoas no autorizadas, as operaes da organizao podero ser comprometidas, causando perdas financeiras e de competitividade. E integridade dos dados vital. [...]
A maneira como a informao armazenada e descartada afetado pela sua classificao, dessa forma, poucos recursos sero necessrios para informaes menos importantes e diferentemente dessas, as informaes com alto nvel de importncia devem ter procedimentos especiais de armazenamento e descarte.
Ferreira e Arajo (2008, p. 82), definem:

Informaes pblicas. Armazenamento: Devem ser armazenadas com a utilizao de recursos considerando o menor investimento, sem a preocupao com confidencialidade. Descarte: Pode-se proceder de forma simples, sem uso de recursos e procedimentos. Informaes internas. Armazenamento: As informaes com tal classificao devem ser armazenadas de acordo com a necessidade, em reas de acesso reservado. Descarte: Tais informaes devem ser descartadas utilizando-se recursos e procedimentos especficos. As informaes confidenciais devem servir de base para o desenvolvimento do processo e aquisio dos recursos. Informaes confidenciais. Armazenamento: Os locais onde as informaes esto armazenadas devem possuir acessos controlados, havendo uma concesso formal e por meio de procedimento que envolva o proprietrio da informao. Descarte: O descarte deve ser efetuado por meio de procedimentos e ferramentas que destruam a informao por completo.
O mesmo nvel de ateno que dado ao armazenamento, tambm deve ser dado ao descarte, pois lapso com qualquer um desses ir gerar riscos informao.
31
2.4.4 PUBLICAO DAS INFORMAES NA WEB Para Ferreira e Arajo (2008, p. 82), as informaes somente devem ser divulgadas externamente quando devidamente autorizadas. A divulgao na Internet ou Extranet destinada somente para as informaes pblicas.
Quando uma informao fica disponvel na web, todos que tem acesso a rede podem visualizar, copiar e at mesmo em alguns casos editar essa informao, dessa forma a empresa deve ter muito cuidado quanto ao tipo de informao que vai disponibilizar na internet.
2.4.5 PERDA OU ROUBO DE INFORMAES
A perda ou roubo de informaes um ponto crtico para a organizao, pois o tipo de informao perdida ou roubada pode afetar diretamente o negcio da empresa.
Ferreira e Arajo (2008), dizem que a perda da informao ou at mesmo a suspeita desta, implica em comunicar formalmente o setor responsvel sobre o ocorrido.
2.4.6 UTILIZAO DOS RECURSOS DE TI
Os recursos de TI so as mais importantes ferramentas para a segurana da informao, pois na maioria das empresas a informao digital e a manipulao dessa informao quase sempre feita atravs dos recursos de TI. Para Ferreira e Arajo (2008, p. 87), a utilizao de recursos tecnolgicos pelos colaboradores deve ocorrer apenas no desempenho das atividades diretamente relacionadas aos negcios da organizao.
Ferreira e Arajo (2008), dizem que o bom uso dos recursos de TI so de responsabilidades dos usurios e que a guarde e zelo por esses equipamentos devem ser respaldadas nas instrues do fabricante e da Poltica de Segurana.
32
A organizao detm todo o direito sobre as informaes criadas e armazenadas em seus recursos de TI e para proteger a informao contida em um determinado recurso de TI a empresa deve resguardar o acesso a este recurso, isso pode ser feito atravs da limitao do recurso em questo.
Para isso Ferreira e Arajo (2008, p. 88), dizem que:

A poltica deve ressaltar que determinados recursos tecnolgicos da empresa podem ser acessados apenas mediante o fornecimento de uma senha vlida, ou seja, as senhas so utilizadas para prevenir acessos no autorizados informao e no conferem ao colaborador nenhum direito de privacidade.
De forma geral o acesso a um determinado recurso de TI deve ser dado a um indivduo de acordo com a funo desempenhada por ele, ou seja, se o colaborador trabalha em um determinado setor, por padro ele s dever ter acesso aos recursos de TI e informaes destinados quele determinado setor.
2.4.7 PROTEO CONTRA SOFTWARE MALICIOSO
Vrus so um dos principais problemas enfrentados pelas empresas, por isso muito importante que os recursos de TI tenham algum tipo de software que os proteja desse tipo de praga digital, tambm importante ressaltar que, para a proteo ser efetiva, esses softwares devem ser constantemente atualizados.
Pata uma efetiva proteo Ferreira e Arajo (2008, p. 92), afirmam que deve haver:
Uso obrigatrio de software antivrus em todos os equipamentos; Atualizao peridica da lista de vrus e da verso do produto; Verificao de todo arquivo recebido anexado em e-mail, ou download, pelo software de antivrus; Disponibilizao de treinamento adequado que oriente a utilizao do software de antivrus para os usurios.
Outro problema o fato de que usurios acostumados com seus computadores domsticos tentem instalar software de terceiros nos computadores da organizao, essa uma prtica perigosa que deve ser tratada na poltica se segurana.
33
Para Ferreira e Arajo (2008, p. 93):

Deve-se ressaltar na poltica, para os usurios, que todos os programas de computador (software) em uso na organizao possuem licena de uso oficial e so homologados, sendo proibida a instalao de software de propriedade da organizao alm da quantidade de licenas adquiridas ou em equipamentos de terceiros.
A utilizao de softwares piratas podem causar danos aos computadores da organizao, portanto essa prtica deve ser desaconselhada e inibida.
2.4.8 PROCEDIMENTOS PARA ACESSO A INTERNET
Antes da liberao dos recursos da internet para os usurios importante realizar alguns questionamentos sobre determinados aspectos, portanto, Ferreira e Arajo (2008, p. 95), descrevem alguns desses questionamentos:
Se os profissionais tero permisso para navegar na Web para uso pessoal, assim como, para fins comerciais; Se os funcionrios podero usar a internet para fins particulares e em quais perodos (durante o almoo, depois do expediente, etc.); Se e como a organizao efetuar a monitorao do uso da internet e qual o nvel de privacidade os funcionrios esto sujeitos; Acessos no permitidos, determinando os tipos de sites que sero inaceitveis [...].
Apesar de ser indispensvel na maioria das instituies o acesso a internet deve ser controlado, caso contrrio poder ocasionar perda de produtividade devido a seu uso indiscriminado, portanto necessrio definir claramente como deve ser feito o procedimento de acesso a internet.
2.4.9 PROCEDIMENTOS PARA USO DO CORREIO ELETRNICO
Segundo Fontes (2006) as mensagens de correio eletrnico so instrumentos essenciais de comunicao interna e externa que auxiliam na realizao do negcio da organizao, portanto a correta utilizao dessa ferramenta trar diversos benefcios para a instituio.
34
Fontes (2006, p. 81) ainda ressalta que: o correio eletrnico com endereo da organizao uma ferramenta disponibilizada para voc tornar mais eficiente suas atividades profissionais. Portanto essa ferramenta no deve ser usada em propsitos particulares, falsificao, propagao de vrus ou spam, essas atividades podem causar danos s informaes da empresa.
2.4.10 GERENCIAMENTO,
SISTEMAS
CONTROLE DA REDE, MONITORAO DO USO E ACESSO AOS
Os colaboradores s precisam ter acesso s informaes que dizem respeito sua alada de trabalho, dessa forma no h necessidade de dar acesso a terceiros sem necessidade ou dar permisses a um usurio alm das que ele necessite, salvo alguns casos especiais.

Os controles de acesso lgico devem assegurar que: Apenas usurios autorizados tenham acesso aos recursos; Os usurios tenham, acesso apenas aos recursos realmente necessrios para a execuo de suas atividades; O acesso aos recursos crticos seja constantemente monitorado e restrito; Os usurios sejam impedidos de executar transaes incompatveis com a sua funo.
O modo mais seguro de prevenir acessos no autorizados atravs de definies de usurios e senhas para os colaboradores da instituio, cada usurio deve ter um usurio e uma senha para acessar os recursos de TI sob sua responsabilidade bem como s informaes armazenadas nesses recursos, a senha de cada indivduo deve ser algo pessoal e intransfervel. Ferreira e Arajo (2008, p. 98), dizem que, o processo de logon usado para obter acesso aos dados e aplicativos em um sistema informatizado. Normalmente esse processo envolve a utilizao de um User ID e uma senha.
importante deixar claro que caso algum funcionrio compartilhe sua senha com outro funcionrio e este acesse informaes confidenciais, a responsabilidade com o
35
que vier a acontecer com essas informaes acessadas sero atribudas ao usurio que compartilhou a senha.
Porm ainda importante lembrar que existem vrios softwares que podem ser utilizados para a quebra de senhas, portanto a poltica deve instruir o funcionrio a criar uma senha difcil de ser descoberta, isso significa que o contedo da senha em questo no deve ter nenhuma referncia ao indivduo que a esta criando.
Para Ferreira e Arajo (2008, p. 99):

Especificar na poltica que o nome, sobrenome, nmeros de documentos, placas de carros, nmeros de telefones, times de futebol e datas devero estar fora da lista de senhas. Esses dados so muito fceis de se obter e qualquer pessoa poderia utilizar esse tipo de informao para uma autenticao vlida.
Ferreira e Arajo (2008, p. 100), dizem que, uma boa senha deve ter pelo menos oito caracteres (letras, nmeros e smbolos), deve ser simples de digitar e, o mais importante deve ser fcil de lembrar.
Quanto mais desordenada a senha for, mais eficaz ela ser, portanto, a melhor forma de criar uma senha embaralhando letras, nmeros e caracteres especiais em uma frase ou palavra que seja familiar ao indivduo, dessa forma como exemplo prtico define-se uma palavra base como senha e aps algumas alteraes e aplicao de alguns caracteres e nmeros tem-se como resultado uma nova palavra 53nh@, fcil de lembrar para quem a criou, porm difcil para quem tentar descobri-la, deve-se lembrar que este apenas um exemplo simples e que a criao de uma senha deve ser bem mais elaborada.
36
3 APRESENTAO E ANLISE DOS DADOS DA PESQUISA
3.1 HISTRICO DO MUNICPIO - VILA PAVO-ES
De acordo com dados retirados do site oficial da Prefeitura Municipal de Vila Pavo (2012) o povo nativo do Municpio eram os ndios Botocudos, tinham a caracterstica de usar uma tbua na parte interna do lbio inferior e viveram tranquilamente na regio at serem expulsos pelos brancos.
Alguns eventos marcaram o incio do povoamento e colonizao do municpio, os principais foram, a construo da ponte sobre o Rio Doce, em Colatina, a abertura da estrada que liga Nova Vencia Vila Pavo, bem como a divulgao das terras quentes que os caminhoneiros e tropeiros faziam a os imigrantes pomeranos e italianos do Sul do Estado e regies de limite com Minas Gerais.
No dia 01 de julho de 1990 o municpio de Vila Pavo foi emancipado de Nova Vencia. A cidade foi colonizada na dcada de 20 por caboclos que fugiam da seca do serto, madeireiros e em 1940 chegaram algumas famlias de descendncia afroitalianas e pomeranas. O nome "Vila Pavo" foi assentado por tropeiros que passavam a noite na nica casa do "pavo" localizada na encruzilhada onde hoje fica o centro da cidade (a casa tinha o desenho dessa ave).
O municpio tem hoje mais de 9.000 habitantes, dos quais 78% residem na zona rural, com destaque para sua agricultura familiar. O Granito tambm faz de Vila Pavo uma das maiores jazidas deste produto no Brasil.
3.2 HISTRICO DA ESCOLA ESTADUAL DE ENSINO FUNDAMENTAL E MDIO PROFESSORA ANA PORTELA DE S A EEEFM Professora Ana Portela de S situada Rua Adelaide Ramlow , s/n Bairro Ondina Vila Pavo ES. No existe registro de uma data exata da sua
37
criao. Sabe-se que foi fundada por volta de 1951 pela rede estadual, atravs da vinda de uma professora. A escola funcionou na dcada de 50 com duas salas de aula, porm no final desta dcada passou a funcionar com quatro turmas (duas no turno matutino e duas no turno vespertino). Nesta poca denominava-se Escola Singular Crrego Grande. E um pouco mais tarde passa a denominar-se Escola Reunida Crrego Grande.
No incio dos anos 60 foi ampliado para quatro salas de aula, atendendo turmas de 1 a 4 sries e no final desta mesma dcada passou a atender tambm Alfabetizao dos adultos. Ainda no mesmo prdio funcionou a Escola de 1 Grau Marechal Humberto de Alencar Castelo Branco, que atendia turmas de 5 a 8 sries, sendo pertencentes rede municipal de Nova Vencia at 1982. A Portaria E N 337 de 25/06/1970 transforma a Escola Reunida Crrego Grande em Grupo Escolar Crrego Grande. Em 1983 foi fundado o CIER Centro de Integrao e Educao Rural, sendo que os alunos da rede municipal de 5 a 8 da Escola Municipal Marechal Humberto de Alencar Castelo Branco foram transferidos para a rede estadual. A partir de 1994 a Escola de 1 Grau Crrego Grande foi t ransformada em Escola de 1 e 2 Graus Crrego Grande atravs da Portaria E N 2024 de 29/06/1984, publicada no D.O de 30/06/1984. De acordo com a Portaria o atendimento a nvel de 1 Grau continuou restrito s sries iniciais. Tambm foi criado o 2 Grau nos termos da Lei N 7.044 82 e Resoluo N 7.382 CEE.
O Curso No Profissionalizante NP foi criado pela Portaria E N 2.024 de 29/06/1984, publicada no D.O de 30/06/1984. Atravs da Resoluo CEE N 31/89 de 19/07/1989 publicado no D.O em 30/06/1989. Atravs da Resoluo CEE N 137/99, publicada em 08/12/1999, a denominao do curso No Profissionalizante previsto na Lei N 7.044/82 passa a ser Ensino Mdio Mantendo-se os atos legais da autorizao ou aprovao anterior.
38
Em 1989 a Escola de 1 e 2 Graus Crrego Grande foi transformada em Unidade Completa de Ensino de 1 Grau de 1 a 8 sries, conforme Portaria E N 2.628 de 01 de dezembro de 1989, publicada do D.O de 04/12/1989. Em 1990 a Escola de 1 e 2 Graus Crrego Grande passa a atender turmas de 5 a 8 sries da rede estadual.
A Resoluo do CEE N 31/89 aprova o funcionamento do curso de 2 Grau nos termos da Lei 7.044/82 na Escola de 1 e 2 Graus Crrego Grande situada Rua 15 de Novembro, N 136, municpio de Nova Vencia.
O Curso de Habilitao para o Exerccio do Magistrio de 1 a 4 sries foi criado atravs da Portaria E N 3133 de 17 de maio de 1995, publicada no D.O de 18/051995, para funcionar na EPSG Crrego Grande, localizada na Rua Projetada, s/n Bairro Ondina.
Atravs da Portaria E N 3.323 de 02/09/1997, publicada no D.O de 04/09/1997 a EPSG Crrego Grande passa a denominar-se Escola de 1 e 2 Graus Professora Ana Portela de S, a partir de 1998.
A Resoluo CEE N 659/2002 aprova o funcionamento do Curso de Habilitao para o Exerccio do Magistrio em 1 Grau no perodo de 1995 a 2001. Encerra em carter definitivo a oferta do curso Normal a partir do ano letivo 2002. A EPSG Professora Ana Portela de S passa a denominar -se EEEFM Professora Ana Portela de S conforme a Portaria N 055 R de 12/06/2002 D.O de 14/06/2002.
No ms de julho de 2005 foi assinado o convnio N 154/2005 que versa sobre a municipalizao do Ensino Fundamental, entre a Secretaria de Estado da Educao SEDU e a Prefeitura Municipal de Vila Pavo transferindo as matrculas dos alunos do Ensino Fundamental para a rede municipal.
A escola recebeu os seguintes nomes: Escola Singular Crrego Grande
39
Escola Reunida Crrego Grande Escola de 1 Grau Crrego Grande Escola de 1 e 2 Graus Crrego Grande Escola de 1 e 2 Graus Professora Ana Portela de S EEEFM Professora Ana Portela de S
Lista dos nomes dos diretores: 1 Antonia Dalva Milleri (1972-1974) 2 Nelza Ferreira Kalke (1974-1977) 3 Santina Uliana Milbratz (1977-1990) 4 Nellia Bge Rossim (1991-1994) 5 Irineu Wutke (1994-1995) 6 Izaura Ramlow (1995-1997) 7 Irineu Wutke (1997-2002) 8 Creuza Joann Kosky (2002 AT A PRESENTE DATA)
Obs: A escola teve trs professoras que se destacaram que a Sr. Ana Portela de S (in memoriam), Esther da Costa Santos (in memoriam) e Vitria Souza (in memoriam), que desempenharam papis fundamentais como professoras, no havendo na poca direo na escola. A partir de 1998 a Escola passa a denominarse Escola de 1 e 2 Graus Professora Ana Portela de S em homenagem a professora.
As informaes a respeito do histrico da escola foram extradas a partir de um documento interno da instituio.
3.3 APRESENTAO DOS DADOS DA PESQUISA
A partir deste ponto ser apresentada a pesquisa que foi realizada entre setembro e outubro de 2012, no setor administrativo da Escola Estadual de Ensino Fundamental e Mdio Professora Ana Portela de S, localizada no municpio de Vila Pavo-ES, onde foi abordada uma amostra de 12 funcionrios, a fim de averiguar por
40
intermdio destes quais so as polticas de segurana que a empresa adota para manter a integridade das suas informaes.
80% 70% 60% 50% 40% 30% 20% 10% 0%
Voc tem conhecimento de que sua empresa adota algum tipo de Poltica de Segurana da Informao 75%
25%
Sim
No
Grfico 1: Voc tem conhecimento de que sua empresa adota algum tipo de Poltica de Segurana da Informao.
Percebe-se por meio do grfico 1 que 75% dos entrevistados tem conhecimento sobre a adoo de algum tipo de segurana da informao em sua empresa e 25% no sabem.
Voc tem algum tipo de software antivrus instalado em seu computador 120% 100% 80% 60% 40% 20% 0% Sim 0% No 100%
Grfico 2: Voc tem algum tipo de software antivrus instalado em seu computador.
No grfico 2 observa-se que 100% dos entrevistados tem algum tipo de software de antivrus instalado em seu computador.
41
Voc tem permisso de usurio Administrador na sua mquina 60% 50% 40% 50% 50%
30%
20% 10% 0% Sim No
Grfico 3: Voc tem permisso de usurio Administrador na sua mquina.
Em relao ao grfico 3, percebe-se que 50% dos entrevistados tem permisso de usurio administrador em sua mquina e 50% no tem essa permisso.
Voc tem acesso irrestrito independente do horrio sala dos ativos de informao (Sala do servidor ou servidores) 60% 50% 40% 30% 20% 10% 50% 50%
0%
Sim No
Grfico 4: Voc tem acesso irrestrito independente do horrio sala dos ativos de informao (Sala do servidor ou servidores).
No grfico 4, observa-se que em relao ao acesso a sala dos ativos de informao (Sala do servidor ou servidores), 50% responderam que sim, tem acesso irrestrito independente do horrio e 50% no tem acesso irrestrito.
42
Em sua empresa existe algum tipo de backup (cpia de segurana) dos dados que voc ou seus colegas trabalham 90% 80% 83%
70%
60% 50% 40% 30% 20% 10% 0% Sim No
Grfico 5: Em sua empresa existe algum tipo de backup (cpia de segurana) dos dados que voc ou seus colegas trabalham.
17%
Em relao ao grfico 5, percebe-se que 83% dos entrevistados disseram que na empresa existe algum tipo de backup e 17% responderam que no tem.
permitido a voc acesso a pastas e arquivos de outros setores

80% 70% 60% 50% 40% 30% 20% 25% 75%
10%
0% Sim No
Grfico 6: permitido a voc acesso a pastas e arquivos de outros setores.
De acordo com o grfico 6, visualiza-se que 75% dos entrevistados tem acesso a pastas e arquivos de outros setores e 25% no tem acesso.
43
Voc recebeu capacitao e treinamento no uso dos recursos de Tecnologia da Informao quando entrou na empresa 70% 60% 50% 40% 30% 58% 42%
20%
10% 0% Sim No
Grfico 7: Voc recebeu capacitao e treinamento no uso dos recursos de Tecnologia da Informao quando entrou na empresa.
Verifica-se que no grfico 7, em relao a capacitao dos recursos de Tecnologia da Informao para novos funcionrios, 58% responderam receberam treinamento quando entram na empresa e 42% responderam que no receberam.
permitido a voc acesso irrestrito internet, ou seja, voc pode acessar qualquer site a qualquer momento do dia 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 92%
8% Sim No
Grfico 8: permitido a voc acesso irrestrito internet, ou seja, voc pode acessar qualquer site a qualquer momento do dia.
No grfico 8, em relao ao acesso internet, 8% responderam que tem acesso irrestrito internet e 92% responderam que no tem acesso irrestrito internet.
44
Dentro da instituio, para assuntos relacionados empresa e ao seu trabalho voc costuma usar e-mail particular, criado por voc mesmo e usado no seu dia-a-dia ou e-mail corporativo, concedido a voc pela empresa 70% 60% 50% 40% 30% 20% 10% 0% 58% 42%
E-mail particular
E-mail corporativo
Grfico 9: Dentro da instituio, para assuntos relacionados empresa e ao seu trabalho voc costuma usar e-mail particular, criado por voc mesmo e usado no seu dia-a-dia ou e-mail corporativo, concedido a voc pela empresa.
Verificou-se no grfico 9 que dentro da instituio, para assuntos relacionados empresa e ao seu trabalho 58% dos entrevistados usam e-mail particular e 42% usam e-mail corporativo.
Como feito acesso ao sistema em seu computador 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Eu ligo e ele j entra no Eu tenho que digitar meu sistema automaticamente usurio e minha senha
Grfico 10: Como feito acesso ao seu computador.
83%
17% 0% Outras formas
Em relao ao grfico 10, percebe-se que 83% dos entrevistados responderam que o acesso ao sistema feito automaticamente quando ligam seus computadores, 17% tem que digitar usurio e senha.
45
Durante seu tempo de trabalho na instituio, o seu ativo de informao j sofreu algum tipo de ataque de vrus 60% 50% 40% 30% 20% 10% 0% Sim No
Grfico 11: Durante seu tempo de trabalho na instituio, o seu ativo de informao j sofreu algum tipo de ataque de vrus.
50%
50%
O grfico 11 mostra a relao entre os entrevistados que tiveram ou no seus ativos de informao atacados por vrus e 50% responderam que j sofreram algum tipo de ataque e 50% no sofreram nenhum tipo de ataque.
70% 60% 50% 40% 30% 20% 10% 0%
Se sim, como foi que o sistema reagiu a esse ataque 67%
33%
0% O software Eu perdi alguns Meu computador antivrus detectou arquivos devido teve que ser e enviou o vrus ao ataque. formatado. para a quarentena.
0% Outros
Grfico 12: Se sim, como foi que o sistema reagiu a esse ataque.
Por meio do grfico 12 tentou-se descobrir qual foi a reao do sistema quando sofreu o ataque, e 33% dos que sofreram algum tipo de ataque disseram que o software antivrus detectou o vrus e enviou para a quarentena, nenhum dos que sofreram ataque perderam arquivos e 67% tiveram que formatar seu computador.
46
3.4 ANLISE DOS DADOS DA PESQUISA
Em sequencia apresentao dos dados tabulados na pesquisa acima realizada na Escola Estadual de Ensino Fundamental e Mdio Professora Ana Portela de S, pode-se averiguar que a maioria dos colaboradores tem conhecimento a respeito da poltica de segurana da instituio, mas alguns poucos ainda no tm essa informao e isso um fator negativo, pois segundo Ferreira e Arajo (2008), para ser efetiva a poltica se segurana da informao deve ser formalizada e divulgada a todos os colaboradores que utilizam os ativos de informao.
Quando os colaboradores foram questionados sobre a existncia de um software antivrus em seus computadores, todos responderam que sim, um resultado positivo, pois segundo Ferreira e Arajo (2008), para uma efetiva proteo das informaes todos os equipamentos devem obrigatoriamente ter instalados um software antivrus.
Porm segundo Ferreira e Arajo (2008), somente o ato de instalar um software antivrus no garante a proteo das informaes, tambm necessrio que este seja atualizado constantemente, fato que aponta para um fator negativo encontrado no grfico 12 onde mostrado o comportamento do sistema quando infectado por um vrus, pois mais da metade dos que foram infectados tiveram que ter seu ativo formatado, isso remete ao fato que os softwares antivrus desses colaboradores no estavam com suas respectivas listas de vacinas atualizadas.
Ao analisar as permisses dos colaboradores sobre os ativos de informao, foi constatado que metade dos colaboradores tem permisses administrativas, neste ponto encontrado um dos principais problemas em relao s boas prticas de uma poltica de segurana, pois usurios administradores tm controle total sobre a mquina, ou seja, podem instalar, remover e acessar qualquer recurso da rede, o que diverge quando Ferreira e Arajo (2008), dizem que alguns recursos devem ser controlados por uma senha, para prevenir acessos no autorizados, ou quando ressaltam que os usurios devero acessar somente recursos autorizados e necessrios realizao de seu trabalho e ainda impossibilitados de executar transaes incompatveis com sua funo.
47
A permisso administrativa para usurios comuns tambm entra em conflito com o principio da confidencialidade, pois segundo Campos (2007) a confidencialidade consiste em garantir que apenas pessoas autorizadas tenham acesso a determinada informao e neste caso o Administrador tem acesso a todas as informaes. As permisses administrativas usadas de forma indevida ainda violam o principio da integridade, pois segundo Campos (2007), o princpio garante que a informao acessada seja segura, completa sem alteraes indevidas, ou seja, confivel.
Em relao ao acesso a sala de servidores, metade dos entrevistados tem acesso irrestrito a esses ativos, outro fator negativo, pois segundo Alves de Zambalde (2007) a segurana fsica tem o objetivo de proteger os ativos de acesso fsico no autorizado, visto que indivduos no autorizados no tem conhecimento suficiente para lidar com estes equipamentos ou podem ter mas intenes. A entrevista foi realizada com o setor administrativo da empresa logo nenhum dos entrevistados deveria ter acesso a sala dos servidores.
Quando questionados sobre a existncia de backup ou cpia de segurana das informaes tem-se dois pontos importantes a se tratar, primeiro, a maioria 83% respondeu que tem conhecimento, neste ponto justifica-se uma anlise positiva, pois segundo Silva (2011), uma forma segura de manter as informaes da empresa a salvo a utilizao de cpias de salvaguardas ou backups, que nada mais que copiar os arquivos de seu computador e para outro dispositivo.
Na anlise da minoria de 17%, tem-se um aspecto negativo em relao poltica de segurana que um reflexo da anlise do primeiro grfico que mostra que nem todos na instituio tm conhecimento sobre as polticas de segurana que a empresa adota.
Em relao s permisses de acesso a arquivos ou pastas, a maioria dos entrevistados tem acesso a arquivos ou pastas de outros setores, isso est em desacordo com as boas prticas de poltica de segurana, pois segundo Ferreira e Arajo (2009), uma poltica de segurana deve ter controles de acesso lgico que permitam assegurar que apenas usurios autorizados tenham acesso aos recursos e apenas aos recursos para a execuo de suas atividades.
48
Ferreira e Arajo (2008) dizem que a guarda e o zelo dos recursos de TI so de responsabilidade dos usurios que operam estes equipamentos, em complemento eles ainda ressaltam que o elemento humano fundamental para a proteo das informaes, pois ele quem vai trat-las, por isso importante efetuar o treinamento destes, o que ocorre parcialmente quando o grfico 7 analisado, pois 58% receberam treinamento e 42% no receberam treinamento quando entraram na empresa.
Ao analisar o grfico 8 pode-se observar um ponto positivo pois somente 8% dos entrevistados tem acesso irrestrito internet e pode ser justificado pois Ferreira e Arajo (2008), afirmam que antes de liberar acesso internet aos colaboradores devem-se definir algumas questes como, quais sites podero ser acessados, quais horrios sero liberados ou se sero liberados acessos para fins particulares.
Em relao ao uso de e-mails particulares e corporativos dentro da organizao percebe-se que 58% usam e-mail particular, uma pratica no recomendada, pois Fontes (2006) diz que o correio eletrnico com endereo da organizao uma ferramenta que disponibilizada para o colaborador ser mais eficiente nas atividades profissionais, dessa forma no h necessidade do uso de e-mails particulares para assuntos relacionados instituio os outros 42% esto de acordo com as orientaes encontradas no referencial.
Quando questionados sobre o acesso ao sistema em seus computadores, a grande maioria de 83% dos entrevistados disseram que o acesso feito de forma automtica e apenas 17% tem que digitar usurio e senha, um ponto negativo, pois segundo Ferreira e Arajo (2008, p. 98), o processo de logon usado para obter acesso aos dados e aplicativos em um sistema informatizado. Normalmente esse processo envolve a utilizao de um User ID e uma senha . Dessa forma a minoria de 17% usa a forma correta para acesso ao sistema.
Por fim ao analisar o grfico 10 podem-se verificar as vulnerabilidades de alguns ativos de informaes, que de acordo com Campos (2007) so as fraquezas contidas nos ativos de informao e que podem ser exploradas por terceiros, pois
49
metade dos entrevistados tiveram seus ativos infectados por vrus, a outra metade estava devidamente protegida no contendo vulnerabilidades.
50
4 CONCLUSO E RECOMENDAES
4.1 CONCLUSO
A presente pesquisa teve a finalidade de estudar a segurana da informao em uma determinada empresa, um tema importante no cenrio atual tendo em vista as inovaes tecnolgicas atuais que podem ser tanto benficas quanto malficas dependendo muito de quem e como essas inovaes so utilizadas.
O foco da pesquisa esteve em torno da seguinte pergunta: em um cenrio hostil como o atual, quais so as polticas de segurana da informao que a Escola Estadual de Ensino Fundamental e Mdio Professora Ana Portela de S adota para manter a integridade de suas informaes, essas polticas so realmente eficientes e eficazes? No intuito de responder a este questionamento, foi formulado um objetivo geral que buscou analisar e investigar a estrutura da segurana da empresa em questo, demonstrando por meio da pesquisa se esta instituio mantm suas informaes seguras das ameaas do ambiente.
Tambm foram estabelecidos cinco objetivos especficos, sendo que o primeiro props descrever as ameaas ao sistema lgico que so mencionados na seo que trata das vulnerabilidades e ameaas e como exemplo pode-se citar os vrus, os fraudadores, os espies e sabotadores.
O segundo e o terceiro objetivos visaram respectivamente identificar as ameaas do ambiente natural e descrever a segurana fsica e do ambiente que tambm foram respondidos na seo que descreve a segurana fsica do ambiente, as ameaas do ambiente natural podem ser classificadas como enchentes, alagamentos e raios, a segurana fsica e do ambiente podem ser adquiridas atravs de chaves e travas, detectores de movimentos, proteo eltrica, proteo contra rudo e umidade.
O quarto e o quinto objetivos respectivamente buscaram identificar as polticas de segurana da informao e identificar as melhores alternativas para a proteo dos
51
dados armazenados no sistema, esses objetivos foram respondidos na seo de polticas de segurana da informao, que de forma resumida pode-se citar os treinamentos dos colaboradores nas ferramentas tecnolgicas, a publicao e a divulgao da poltica de segurana da empresa, os procedimentos em caso de publicao das informaes na web ou em caso de perda das informaes, a correta utilizao dos recursos de TI, a proteo contra software malicioso, os procedimentos para acesso a internet e uso do correio eletrnico e o gerenciamento, controle e monitorao da rede e seus recursos.
Os objetivos especficos foram fundamentais para se ter uma melhor noo sobre polticas de segurana da informao e ter o embasamento terico necessrio, por outro lado o objetivo geral esteve centrado na pesquisa, portanto foi fundamental para verificar a veracidade da hiptese.
A Hiptese que propunha que a empresa estudada estava ciente das ameaas que traziam risco segurana de suas informaes e buscava as melhores prticas de segurana para proteg-las se faz falsa, visto que a anlise dos grficos da pesquisa demonstra em sua grande maioria resultados insatisfatrios, ou seja, no compatveis com as polticas de segurana das informaes mencionadas no referencial terico apresentado neste trabalho.
4.2 RECOMENDAES
A anlise da estrutura da organizao demonstrada neste trabalho no foi favorvel ao que tange a segurana das informaes, mesmo assim pode-se perceber que a empresa procura adotar as polticas de segurana da informao, porm as polticas no esto sendo aplicadas em sua totalidade.
As ameaas sempre procuram as vulnerabilidades mesmo as mais pequenas e imperceptveis, portanto se apenas um colaborador da organizao no estiver alinhado com as normas das polticas de segurana, toda a organizao estar comprometida.
52
Para os futuros pesquisadores recomenda-se que pesquisem sobre:
A implantao de polticas de segurana da informao em empresas buscando a conformidade com a norma ISO17799. As diferenas na gesto da segurana da informao em organizaes pblicas e privadas.
53
5 REFERNCIAS
1. ALVES, Rmulo Maia; ZAMBALDE, Andr Luiz. Gesto de Segurana da Informao. Lavras: UFLA/FAEPE, 2007. 2. ANDRADE, Maria Margarida. Introduo metodologia do trabalho cientfico: Elaborao de trabalhos na graduao. 5. ed. So Paulo: Atlas, 2001. 3. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 27002: Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. 4. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27001: Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro, 2006. 5. BARROS, Aidil Jesus Paes de; LEHFELD, Neide Aparecida de. Fundamentos de metodologia: Um guia para a iniciao cientfica. 2. ed. So Paulo: Makron Books, 2000. 6. CAMPOS, Andr. Sistema de Segurana da Informao: Controlando os riscos. 2. ed. Florianpolis: Visual Books, 2007. 7. ESCOLA ESTADUAL DE ENSINO FUNDAMENTAL E MDIO PROFESSORA ANA PORTELA DE S. Proposta Pedaggica 2012. Vila Pavo: s. ed., 2012. 8. FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de. Poltica de Segurana da Informao: Guia prtico para elaborao e implementao. 2. ed. Rio de Janeiro: Cincia Moderna, 2008. 9. FONTES, Edison. Segurana da Informao: O usurio faz a diferena. So Paulo: Saraiva, 2006. 10. GIL, Antnio Carlos. Como elaborar projetos de pesquisa. 4. ed. So Paulo: Atlas, 2002. 11. GONALVES, Jlio Csar. O gerenciamento da informao e sua segurana contra ataques de vrus de computador recebidos por meio de correio eletrnico. Taubat: 2002, 328 p. Dissertao (Mestrado em Administrao de Empresas) Universidade de Taubat, Taubat, 2002. Disponvel em: <http://www.ppga.com.br/mestrado/2002/goncalves_julio_cesar.pdf>. Acesso em: 01 set. 2012. 12. HISTRIA de Vila Pavo. Site da Prefeitura de Vila Pavo, Vila Pavo, 2011. Disponvel em: <http://www.vilapavao.es.gov.br>. Acesso em: 01 set. 2012. 13. SILVA, Gilson Marques da. Segurana da Informao para Leigos: Como proteger seus dados, micro e familiares na internet. Rio de Janeiro: Editora Cincia Moderna, 2011.
54
APNDICE
55
APNDICE A QUESTIONRIO DA PESQUISA
QUESTIONRIO
APLICADO
AOS
COLABORADORES
DO
SETOR
ADMINISTRATIVO DA ESCOLA ESTADUAL DE ENSINO FUNDAMENTAL E MDIO PROFESSORA ANA PORTELA DE S
1) Voc tem conhecimento de que sua empresa adota algum tipo de Poltica de Segurana da Informao? ( ) Sim ( ) No
2) Voc tem algum tipo de software antivrus instalado em seu computador? ( ) Sim ( ) No
3) Voc tem permisso de usurio Administrador na sua mquina? ( ) Sim ( ) No
4) Voc tem acesso irrestrito independente do horrio sala dos ativos de informao (Sala do servidor ou servidores)? ( ) Sim ( ) No
5) Em sua empresa existe algum tipo de backup (cpia de segurana) dos dados que voc ou seus colegas trabalham? ( ) Sim ( ) No
6) permitido a voc acesso a pastas e arquivos de outros setores? ( ) Sim ( ) No
7) Voc recebeu capacitao e treinamento no uso dos recursos de Tecnologia da Informao quando entrou na empresa? ( ) Sim ( ) No
8) permitido a voc acesso irrestrito internet, ou seja, voc pode acessar qualquer site a qualquer momento do dia? ( ) Sim ( ) No
56
9) Dentro da instituio, para assuntos relacionados empresa e ao seu trabalho voc costuma usar e-mail particular, criado por voc mesmo e usado no seu dia-a-dia ou e-mail corporativo, concedido a voc pela empresa? ( ) E-mail particular ( ) E-mail corporativo
10) Como feito acesso ao seu computador? ( ) Eu ligo e ele j entra no sistema automaticamente ( ) Eu tenho que digitar meu usurio e minha senha ( ) Outras formas
11) Durante seu tempo de trabalho na instituio, o seu ativo de informao j sofreu algum tipo de ataque de vrus? ( ) Sim ( ) No
12) Se sim, como foi que o sistema reagiu a esse ataque? ( ) O software antivrus detectou e enviou o vrus para a quarentena. ( ) Eu perdi alguns arquivos devido ao ataque. ( ) Meu computador teve que ser formatado. ( ) Outros

A Importância Da Segurança Da Informação para Uma Empresa de Ensino Público Estudo de Caso Na Escola Estadual de Ensino Fundamental e Médio "Professora Ana Portela

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

A Importância Da Segurança Da Informação para Uma Empresa de Ensino Público Estudo de Caso Na Escola Estadual de Ensino Fundamental e Médio "Professora Ana Portela

Transféré par

Droits d'auteur :

Formats disponibles

FACULDADE CAPIXABA DE NOVA VENCIA ADMINISTRAO

ROBERTO CARLOS TETZNER ZUMACKE SUANDER GOMES DE SOUZA VINCIUS BERGER

NOVA VENCIA 2012

ROBERTO CARLOS TETZNER ZUMACKE SUANDER GOMES DE SOUZA VINCIUS BERGER

NOVA VENCIA 2012

ROBERTO CARLOS TETZNER ZUMACKE SUANDER GOMES DE SOUZA VINCIUS BERGER

Aprovada em XX de dezembro de 2012

_________________________________________________ Prof Thekeane Pianissoli Faculdade Capixaba de Nova Vencia Orientadora

_________________________________________________ Prof Faculdade Capixaba de Nova Vencia Membro 1

_________________________________________________ Prof Faculdade Capixaba de Nova Vencia Membro 2

PALAVRAS-CHAVE: Ameaa. Vulnerabilidade. Ambiente. Organizao.

KEYWORDS: Threat. Vulnerability. Ambient. Organization.

2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6 2.4.7 2.4.8 2.4.9

2.4.10 GERENCIAMENTO, CONTROLE DA REDE, MONITORAO DO USO E

1.1 JUSTIFICATIVA DO TEMA

1.2 DELIMITAO DO TEMA

1.3 FORMULAO DO PROBLEMA

1.4.2 OBJETIVOS ESPECFICOS

1.6.1 CLASSIFICAO DA PESQUISA

1.6.2 TCNICAS PARA A COLETA DE DADOS

1.6.3 FONTES PARA COLETA DE DADOS

1.6.5 INSTRUMENTO PARA A COLETA DE DADOS

1.6.6 POSSIBILIDADE DE TRATAMENTO DOS DADOS

1.7 APRESENTAO DO CONTEDO DAS PARTES

2.1 SEGURANA DA INFORMAO

2.1.1 SEGURANA FSICA

2.1.2 SEGURANA DE ARMAZENAMENTO

2.1.3 SISTEMA DE SEGURANA DA INFORMAO

2.2 INCIDENTE DE SEGURANA DA INFORMAO

2.2.1 ATIVO DE INFORMAO

De acordo com Alves e Zambalde (2007, p. 21):

2.4 POLTICAS DE SEGURANA DA INFORMAO

Ferreira e Arajo (2008, p. 36), argumentam que:

Ferreira e Arajo (2008, p. 37), afirma que:

2.4.1 PONTOS CRTICOS PARA O SUCESSO

Ferreira e Arajo (2008, p. 44), citam alguns destes:

Ferreira e Arajo (2008, p. 45), enumeram os aspectos da segurana:

2.4.2 TREINAMENTO, PUBLICAO E DIVULGAO

De acordo com a norma ISO/IEC 27002 (2005, p. 28), deve-se:

Ferreira e Arajo (2008, p. 47), dizem que:

2.4.3 CLASSIFICAO DAS INFORMAES

Ferreira e Arajo (2008, p. 78), dizem que:

Ferreira e Arajo (2008, p. 80), definem os nveis de classificao como:

Ferreira e Arajo (2008, p. 82), definem:

2.4.5 PERDA OU ROUBO DE INFORMAES

2.4.6 UTILIZAO DOS RECURSOS DE TI

Para isso Ferreira e Arajo (2008, p. 88), dizem que:

2.4.7 PROTEO CONTRA SOFTWARE MALICIOSO

Para Ferreira e Arajo (2008, p. 93):

2.4.8 PROCEDIMENTOS PARA ACESSO A INTERNET

2.4.9 PROCEDIMENTOS PARA USO DO CORREIO ELETRNICO

CONTROLE DA REDE, MONITORAO DO USO E ACESSO AOS

Ferreira e Arajo (2008, p. 97), dizem que:

Para Ferreira e Arajo (2008, p. 99):

3 APRESENTAO E ANLISE DOS DADOS DA PESQUISA

3.1 HISTRICO DO MUNICPIO - VILA PAVO-ES

A escola recebeu os seguintes nomes: Escola Singular Crrego Grande

3.3 APRESENTAO DOS DADOS DA PESQUISA

80% 70% 60% 50% 40% 30% 20% 10% 0%

permitido a voc acesso a pastas e arquivos de outros setores

17% 0% Outras formas

70% 60% 50% 40% 30% 20% 10% 0%

Se sim, como foi que o sistema reagiu a esse ataque 67%