Plano de SI - EQA

FACULDADE SENAC SERVIO NACIONAL DE APRENDIZAGEM
COMERCIAL
PS-GRADUAO EM SEGURANA DA INFORMAO
JORGE ANTNIO COELHO DE SOUSA

ROBERTO RIVELINO DIAS
ROSSANO CANCELIER
SANDRO DOS SANTOS SOUZA
PLANO DE SEGURANA DA INFORMAO:

DEPARTAMENTO DE ENG. QUMICA E ENG. DE ALIMENTOS
- INSTITUIO DE ENSINO FEDERAL
FLORIANPOLIS, 2009
FACULDADE SENAC SERVIO NACIONAL DE APRENDIZAGEM

COMERCIAL
PS-GRADUAO EM SEGURANA DA INFORMAO

ROSSANO CANCELIER

Projeto Integrador de Curso de PsGraduao

apresentado
banca
examinadora da Faculdade Senac de
Florianpolis como requisito parcial para a
obteno do ttulo de Especialista em
Segurana da Informao.
Orientador: Prof. Hlio A. Ferenhof, MBA, PMP
FLORIANPOLIS, 2009

ROSSANO CANCELIER

Projeto Integrador de Curso de PsGraduao

apresentado
banca
examinadora da Faculdade Senac de
Florianpolis como requisito parcial para a
obteno do ttulo de Especialista em
Aprovada em _____/_____/2009
_____________________________________________________
Aujor Tadeu C. Andrade
_____________________________________________________
Prof. Jos Mariano (Avaliador 1)
____________________________________________________
Prof. xxxxxxx (Avaliador 2)
FLORIANPOLIS, 2009
Dedicatria
Dedicamos este trabalho s nossas

esposas e filhos que sempre apiam a
nossa vida acadmica.
AGRADECIMENTOS
Aos nossos pais, pelo carinho e apoio.

Aos nossos professores, pela dedicao na transmisso do conhecimento e
incentivo pesquisa.
Ao nosso orientador, Hlio Farenhof, pela ateno e competncia.
UFSC, por permitir a explorao do ambiente e possibilitar a concluso deste
trabalho.
RESUMO
A proteo e a preservao da informao so importantes em todas as reas e
numa instituio de ensino superior, que possui um departamento de pesquisa
voltada para o desenvolvimento de patentes, no poderia ser diferente. O presente
trabalho visa a elaborao de um plano estratgico de segurana da informao,
baseado na norma NBR ISO/IEC 17799:2005, que proteja ou, no mnimo, diminua
os riscos que esto expostos os ativos intelectuais desenvolvidos no Departamento
de Engenharia Qumica e Engenharia de Alimentos da Universidade Federal de
Santa Catarina. O desenvolvimento deste Projeto Integrador foi baseado em
documentos de diversas fontes incluindo entrevistas e pesquisa de campo. Ao final
do trabalho foram gerados documentos estratgicos que permitiro a tomada de
deciso dos dirigentes do EQA no sentido de aumentar a segurana das
informaes geradas pelo Departamento. Apesar de abranger um escopo bem
especfico, fornece indicativos para o desenvolvimento de outros trabalhos
semelhantes em outras reas da Segurana da Informao.
Palavras chave: estratgia, informao, patentes, pesquisa, riscos, segurana.
ABSTRACT
The protection and preservation of information are important in all areas and at an
institution of higher education, which has a research department focused on the
development of patents, it could be different. The present study aims to develop a
strategic plan for information security, based on standard ISO / IEC 17799:2005, to
protect or at least lessen the risks faced by intellectual assets developed at the
Department of Chemical and Engineering Food Federal University of Santa Catarina.
The development of this project integrator was based on documents from various
sources including interviews and field research. At the end of the working papers
have been generated that will allow the decision of the leaders of the EQA to
increase the security of information generated by the Department. Although covering
a very specific scope, provides indicative figures for the development of other similar
work in other areas of Information Security.
Keywords: strategy, information, patents, research, risk, security.
LISTA DE TABELAS
Tabela 2-1: Grande rea da Engenharia Qumica ....................................................41
Tabela 2-2: Sistemas operacionais. ..........................................................................53
Tabela 2-3: Principais Aplicativos..............................................................................54
Tabela 4-1: Nveis de permisso e classificao dos usurios. ................................75
Tabela 4-2: Sistemas operacionais utilizados. ..........................................................76
Tabela 4-3: Aplicativos ..............................................................................................77
Tabela 4-4: Oramento para implantao do projeto ................................................82
Tabela 4-5: Anlise da viabilidade econmica / financeira........................................83
LISTA DE FIGURAS
Figura 2-1: Sistema de monitoramento por imagens das reas externas .................27
Figura 2-2: Restrio de acesso no bloco E..............................................................27
Figura 2-3: Mapa da UFSC .......................................................................................29
Figura 2-4: Relatrio da COPERVE ..........................................................................33
Figura 2-5: Grfico da demanda candidato/vaga do EQA.........................................34
Figura 2-6: Fluxograma da pesquisa.........................................................................36
Figura 2-7: Oramento 2009 - UFSC ........................................................................42
Figura 2-8: Rede lgica do EQA................................................................................51
Figura 3-1: Cabeamento externo exposto ao tempo e ataques fsicos .....................61
Figura 3-2: Switch no gerencivel instalado de forma irregular...............................61
Figura 3-3: Edificao com estrutura de madeira......................................................62
Figura 3-4: Falta de controle o acesso fsico.............................................................63
Figura 3-5: Ponto de rede da impressora sem proteo e em local pblico..............63
Figura 3-6: Exemplo de instalao incorreta de cabeamento eltrico e de dados ....64
Figura 3-7: Exemplo de um dos access points irregulares ........................................65
Figura 4-1: Modelo de estrutura de equipe de projeto de segurana ........................72
Figura 4-2: Topologia da rede utilizando NAT ...........................................................80
LISTA DE ABREVIATURAS E SIGLAS

ABNT
ANDES
APUFSC
CAPES
CERT.br
Associao Brasileira de Normas Tcnicas

Sindicato Nacional dos Docentes das Instituies de Ensino
Superior
Associao dos Professores da Universidade Federal de Santa
Catarina
Coordenao de Aperfeioamento de Pessoal de Nvel Superior
Centro de Estudos, Respostas e Tratamento de Incidentes de
Segurana no Brasil
CERTI
Fundao Centros de Referncia em Tecnologia Inovadora
CESUSC
Complexo de Ensino Superior de Santa Catarina
CNPq
Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico
CONLUTAS
Coordenao Nacional de Lutas
COPERVE
Comisso Permanente do Vestibular
COPPE
Instituto Alberto Luiz Coimbra de ps-graduao e Pesquisa de

Engenharia
CTC-UFSC
Centro Tecnolgico da Universidade Federal de Santa Catarina
CUT
Central nica dos Trabalhadores
DIT
Departamento de Inovao Tecnolgica
DRH
Departamento de Recursos Humanos
DSIC
Departamento de Segurana da Informao e Comunicaes.
DSST
Diviso de Segurana e Sade do Trabalhador
EMBRACO
Empresa Brasileira de Compressores
EQA
Engenharia Qumica e Engenharia de Alimentos
FAPESC
FASUBRA
Fundao de Apoio Pesquisa Cientfica e Tecnolgica do

Estado de Santa Catarina
Federao dos Sindicatos dos Trabalhadores das Universidades
Pblicas Brasileiras
FATMA
Fundao do Meio Ambiente
FEESC
Fundao de Ensino e Engenharia de Santa Catarina
FEPESE
Fundao de Estudos e Pesquisas Scio-Econmicos
FINEP
Financiadora de Estudos e Projetos
FUNJAB
GSIPR
IBAMA
Fundao Jos Arthur Boiteaux

Gabinete de Segurana Institucional da Presidncia da
Repblica
Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais
Renovveis
IF-SC
Instituto Federal de Santa Catarina
MEC
Ministrio da Educao
NDA
Ncleo de Desenvolvimento e Assessoramento Tcnico
NIT
Ncleo de Inovao Tecnolgica
NPD
Ncleo de Processamento de Dados
PETROBRAS
Petrleo Brasileiro S.A
PMF
Prefeitura Municipal de Florianpolis
RJU
Regime Jurdico nico
Sadia
Sadia S/A
SENAI
Servio Nacional de Aprendizagem Industrial
SINTUFSC
Sindicato dos Trabalhadores da Universidade Federal de Santa

Catarina
UDESC
Universidade do Estado de Santa Catarina
UFSC
Universidade Federal de Santa Catarina
UNISUL
Universidade do Sul de Santa Catarina
UNIVALI
Universidade do Vale do Itaja
SUMRIO
1
INTRODUO...................................................................................................15
1.1
ESPECIFICAO DO PROBLEMA............................................................15
1.2
OBJETIVOS................................................................................................16
1.2.1
Objetivo Geral ......................................................................................16
1.2.2
Objetivos Especficos...........................................................................16
1.3
JUSTIFICATIVA ..........................................................................................17
1.4
FUNDAMENTAO TERICA...................................................................17
1.4.1
A Norma ABNT NBR ISO/IEC 17799...................................................18
1.4.2
Segurana da Informao....................................................................19
1.5
METODOLOGIA .........................................................................................21
1.5.1
Autorizao para pesquisar .................................................................21
1.5.2
Caracterizao da Pesquisa ................................................................21
1.5.3
Tcnica de Coleta de Dados................................................................21
1.5.4
Forma de Anlise dos Dados...............................................................24
1.6
OBJETIVO DO ESTUDO ............................................................................25
1.6.1
2
Apresentao da Empresa ..................................................................25
DIAGNSTICO..................................................................................................26
2.1
CARACTERIZAO DO AMBIENTE EXTERNO .......................................28
2.1.1
Macro Ambiente...................................................................................30
2.1.1.1
Foras Legais ...............................................................................30
2.1.1.2
Foras Polticas ............................................................................31
2.1.1.3
Foras Econmicas ......................................................................31
2.1.1.4
Foras Tecnolgicas.....................................................................31
2.1.1.5
Foras Ecolgicas ........................................................................32
2.1.1.6
Foras Culturais............................................................................32
2.1.1.7
Foras Sociais ..............................................................................32
2.1.1.8
Foras Demogrficas....................................................................33
2.1.2
Ambiente Especfico ............................................................................35
2.1.2.1
Principais Fornecedores e Insumos..............................................35
2.1.2.2
Principais Empresas Concorrentes...............................................36
2.1.2.3
rgos Reguladores e Fiscalizadores do Segmento....................37
2.1.2.4
Principais Organizaes que Atuam Como Parceiras ..................38
2.1.2.5
Mercado Tecnolgico ...................................................................38
2.1.2.6
Mercado de Informao ................................................................39
2.1.3
Principais Tendncias Culturais e Tecnolgicas em Relao
Segurana da Informao ..................................................................................40

2.2
CARACTERIZAO DO AMBIENTE INTERNO ........................................40
2.2.1
Ambiente Organizacional.....................................................................41
2.2.1.1
Situao nos Negcios .................................................................41
2.2.1.2
Investimentos em Tecnologia .......................................................42
2.2.1.3
Disposio do Espao Fsico........................................................42
2.2.2
Ambiente Informacional .......................................................................43
2.2.2.1
Estratgia Informacional ...............................................................43
2.2.2.2
Poltica da Informao ..................................................................47
2.2.2.3
Cultura e Comportamento em Relao Informao...................47
2.2.2.4
A Equipe Especializada em Informao .......................................48
2.2.2.5
Processos de Gerenciamento da Informao...............................48
2.2.2.6
Arquitetura da Informao ............................................................50
2.2.3
Relatrio Tcnico da Estrutura de Redes ............................................50
2.2.3.1
Diagrama da Topologia de Rede ..................................................50
2.2.3.2
Endereamento de Rede ..............................................................51
2.2.3.3
Componentes de Rede .................................................................52
2.2.3.4
Servios de Rede Disponveis ......................................................53
2.2.4
Sistemas Operacionais e Aplicativos Utilizados...................................53
2.2.4.1
Sistemas Operacionais .................................................................53
2.2.4.2
Aplicativos.....................................................................................54
2.2.5
Fatores Crticos de Sucesso em Relao Segurana da Informao

54
ANLISE ...........................................................................................................55
3.1
ANLISE EXTERNA ...................................................................................55
3.1.1
Principais Oportunidades.....................................................................55
3.1.2
Principais Ameaas .............................................................................55
3.2
ANLISE INTERNA ....................................................................................56
3.2.1
Pontos Fortes.......................................................................................56
3.2.1.1
Aspectos Culturais / Comportamentais.........................................56
3.2.1.2
Fontes de Poder e Poltica da Informao....................................56
3.2.1.3
3.2.1.4
Equipes de Profissionais...............................................................57
3.2.1.5
Estrutura Fsica.............................................................................57
3.2.1.6
Estrutura Lgica............................................................................58
3.2.2
3.3
4
Pontos Fracos......................................................................................58
3.2.2.1
Aspectos Culturais / Comportamentais.........................................58
3.2.2.2
Fontes de Poder e Poltica da Informao....................................58
3.2.2.3
3.2.2.4
Equipes de Profissionais...............................................................59
3.2.2.5
Estrutura Fsica.............................................................................59
3.2.2.6
Estrutura Lgica............................................................................59
SITUAO ATUAL .....................................................................................59
ESTRATGIAS DE SEGURANA DAS INFORMAES ...............................66

4.1
ETAPA CONCEITUAL ................................................................................66
4.1.1
Classificao da Informao ................................................................66
4.1.2
Anlise de Risco ..................................................................................68
4.1.3
Polticas de Segurana ........................................................................69
4.1.4
Direito de Acesso.................................................................................69
4.2
ADMINISTRAO DE SEGURANA.........................................................69
4.2.1
Tipo de Estrutura .................................................................................69
4.2.2
Localizao Dentro da Estrutura..........................................................70
4.2.3
Perfil do Profissional ............................................................................70
4.2.4
Diretrizes de Segurana ......................................................................71
4.2.5
Ferramentas Administrativas e Tcnicas .............................................71
4.2.6
Equipe do Projeto ................................................................................71
4.3
ACESSOS LGICOS E FSICOS...............................................................75
4.3.1
Nvel de Permisso e Classificao de Usurios.................................75
4.3.2
Sistemas Operacionais ........................................................................76
4.3.3
Aplicativos............................................................................................76
4.3.4
Criptografia de Comunicao...............................................................78
4.3.5
Segurana das Estaes e Notebooks ................................................78
4.3.6
Segurana da Rede .............................................................................78
4.3.7
Procedimento Operacional de Segurana Fsica.................................81
4.3.8
Segurana dos Meios de Armazenamento ..........................................81
4.4
5
ANLISE DA VIABILIDADE ECONMICO / FINANCEIRA........................81
PLANOS DE SEGURANA ..............................................................................83

5.1
MONITORAMENTO E CONTROLE............................................................83
5.2
RESPOSTA EMERGENCIAL .....................................................................84
5.3
PLANO DE CONTINGNCIA .....................................................................84
CONSIDERAES FINAIS...............................................................................84
6.1
CONCLUSO .............................................................................................84
6.2
LIMITAES ..............................................................................................85
6.3
TRABALHOS FUTUROS ............................................................................86
REFERNCIAS.........................................................................................................87
GLOSSRIO.............................................................................................................90
APNDICES .............................................................................................................97
Apndice I - Plano de Gerenciamento dos Riscos.................................................98
Apndice II - Proposta de Poltica de Segurana. ...............................................121
Apndice III - Plano de contingncia do EQA ......................................................130
Apndice IV - Relao de responsveis por reas ..............................................146
Apndice V - Relao de fornecedores ...............................................................147
ANEXOS .................................................................................................................148
Anexo I Ofcio do SENAC solicitando autorizao para pesquisar o EQA........149
Anexo II - Portaria 337/GR/2007..........................................................................150
Anexo III - Termos de Confidencialidade (Mestrandos e Doutorandos)...............152
Anexo IV - Termo de Confidencialidade (Pesquisadores) ...................................153
Anexo V - Dispositivos legais de carter Federal ................................................155
Anexo VI - Legislao especfica de carter Federal...........................................168
Anexo VII - Legislao especfica de carter Estadual/Distrital ...........................171
Anexo VIII - Legislao especfica de carter Municipal......................................172
Anexo IX - Normas tcnicas ................................................................................173
15
1 INTRODUO
Sabe-se que em um ambiente acadmico comum que exista um grande

fluxo de pessoas transitando pelos corredores dos diversos departamentos. Essas
pessoas, em geral estudantes, misturam-se com funcionrios, efetivos e
terceirizados, gerando uma populao de difcil controle e identificao.
Neste meio acadmico, da mesma forma que existem pessoas bemintencionadas, que buscam o aprimoramento intelectual ou desenvolver sua
atividade profissional da melhor forma possvel, tambm deve ser considerada a
hiptese da presena de pessoas mal intencionadas e infiltradas na comunidade
acadmica, que visam prtica de atos ilcitos e antiticos, provocando prejuzos
integridade moral e financeira da instituio.
Sabe-se tambm que na maioria dos estabelecimentos de ensino existe uma
categoria de colaboradores responsvel pelo zelo e controle do patrimnio, ou seja,
dos ativos fsicos. Mas, e quanto ao ativo no fsico, intangvel e que muitas vezes
s motivo de preocupao quando perdido, extraviado ou danificado? Este o
caso da informao, que tanto pode ser de carter acadmico ou administrativo,
mas que possui os mesmos riscos.
No ambiente de um departamento acadmico existe uma gama de ativos
tangveis e intangveis, que podem ser classificados como fsicos, lgicos,
patrimoniais, pesquisas, trabalhos acadmicos, artigos, informao digital ou ativo
intelectual, que necessitam de proteo e que sero objeto de estudo neste trabalho.
1.1
ESPECIFICAO DO PROBLEMA
Desde seu surgimento, o departamento de Engenharia Qumica e Engenharia

de Alimentos (EQA), vm acumulando informaes administrativas e acadmicas
com regras amigveis ou sem muito comprometimento com possveis incidentes.
Vinculado ao Centro Tecnolgico da Universidade Federal de Santa Catarina
(CTC-UFSC), recebe diariamente uma grande quantidade de estudantes e
pesquisadores que circulam por suas instalaes para consulta e desenvolvimento
acadmico. Anualmente so desenvolvidas centenas de pesquisas acadmicas que
16
so armazenadas na forma de mdia magntica e papel, que por sua vez, podem ser
transformadas em um artigo, um registro de patente, um relatrio tcnico, uma
publicao acadmica (monografia, dissertao ou tese) ou outro tipo de publicao.
Da mesma forma, existem informaes administrativas, tais como oramentos,
normas ou documentos internos, que so gerados e mantidos pelos colaboradores
do Departamento. Sem grandes preocupaes, a entidade apresenta uma poltica
ineficiente de contingenciamento e de segurana (fsica e lgica), desses ativos de
informao.
Este Plano Estratgico em Segurana da Informao, utilizando-se de
conceitos, metodologias e tcnicas especficas, baseadas na NBR ISO/IEC
17799:2005 (ABNT, 2005) e na Cartilha de Segurana para Internet (CERT.br,
2006), se prope a minimizar as principais vulnerabilidades existentes no
Departamento em estudo.
1.2
OBJETIVOS
1.2.1 Objetivo Geral
Este trabalho tem como objetivo geral desenvolver o planejamento estratgico

de segurana da informao, utilizando como cenrio o Departamento de
Engenharia Qumica e Engenharia de Alimentos da Universidade Federal de Santa
Catarina, baseado na norma ABNT NBR ISO/IEC 17799:2005, visando proteger a
rea de pesquisa contra incidentes que comprometam os ativos intelectuais e
administrativos.
1.2.2 Objetivos Especficos
Definir protees contra possveis ataques cibernticos rede;
Elaborar controle de acesso a contedos e seu manuseio;
Elaborar soluo para melhorar o ndice de disponibilidade dos recursos

computacionais;
Elaborar o Plano de Continuidade de Negcio;
17
1.3
Elaborar a Poltica de Segurana da Informao;
Elaborar o Plano de Contingncia.
JUSTIFICATIVA
Uma poltica de segurana um instrumento para proteger a organizao

contra ameaas segurana da informao que a ela pertence ou que esteja sob
sua responsabilidade. Ela compreendida neste contexto com a quebra de uma ou
mais das suas trs propriedades fundamentais:
Confidencialidade: garantia de que a informao acessvel somente

por pessoas autorizadas a terem acesso;
Integridade: salvaguarda da exatido e completeza da informao e
mtodos de processamento;
Disponibilidade: garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que
necessrio. (FERREIRA, 2003)
1.4
FUNDAMENTAO TERICA
O desenvolvimento da informtica, tambm conhecido como revoluo

digital, atravs do progresso e difuso macia dos microcomputadores, provocou
mudanas radicais no modo de vida das pessoas e na forma das empresas
realizarem seus negcios. Para ambos a informao instigou o aumento do
conhecimento e a tomada de decises estratgicas. A informao surge neste
cenrio como elemento principal da Era da Informao, onde deparamo-nos com
uma carga de informao cada vez maior (SILVA FILHO, 2001) e que, devido sua
importncia, necessita de proteo constante. Para minimizar os problemas de
segurana foram desenvolvidas normas, polticas e tambm sistemas com o objetivo
de fortalecer a segurana da informao contra os diversos incidentes do mundo
virtual.
18
1.4.1 A Norma ABNT NBR ISO/IEC 17799
A Associao Brasileira de Normas Tcnicas (ABNT), que a responsvel

pelo Frum Nacional de Normalizao, em abril de 2001, disponibilizou para
consulta pblica o Projeto 21:204.01-010, que daria origem norma nacional de
segurana da informao: NBR ISO/IEC 17799:2001.
A verso final da NBR ISO/IEC-17799:2001, que uma traduo literal da
norma Internacional de Segurana da Informao - ISO/IEC-17799:2000, foi
homologada em setembro de 2001 e sua publicao incluiu oficialmente o Brasil no
conjunto de pases que adotam e apiam o uso da norma de segurana da
informao (GONALVES, 2004). Em 30 de setembro de 2005, passou a ter
validade a segunda edio atualizada da norma brasileira. Foi publicada sob o
nmero ABNT NBR ISO/IEC 17799:2005, que equivalente norma ISO/IEC
17799:2005, entrando em vigor a partir de novembro de 2005 (MICROSOFT, 2006).
Esta verso da ISO/IEC 17799 vem sendo utilizada por vrios pases, como
o caso de Portugal, Angola e outros. Assim como a verso original, a norma
brasileira de segurana de informao dividida nos 11 macros controles:
Poltica de segurana da informao: reviso e avaliao da poltica de

segurana corporativa;
Organizando a segurana da informao: estruturao interna da

segurana, sobre o acesso de terceiros e terceirizao de servios;
Gesto de ativos: contabilidade e inventrio dos ativos e classificao

das informaes;
Segurana em recursos humanos: segurana na definio das

atividades a serem executadas e no recrutamento de pessoal,
treinamento em segurana e na execuo das funes atribudas;
Segurana fsica e do ambiente: definio das reas seguras,

segurana dos equipamentos e controles gerais (poltica de mesas e telas
limpas, remoo de ativos, etc.);
Gerenciamento
procedimentos
de
operaes
operacionais
comunicaes:
responsabilidades,
anlise
planejamento
de
e
aceitao do sistema (planejamento de capacidade, testes de aceitao),

proteo contra vrus, cpias de segurana, trilhas de auditoria,
19
gerenciamento de redes de comunicao de dados, segurana e

manuseio
de
mdias,
troca
de
informaes
softwares
entre
organizaes;
Controle de acesso: sincronizao dos relgios do sistema, monitorao

de uso e acesso aos sistemas (logs), controle de acesso de sistema
operacional, gerenciamento de acessos de usurios, responsabilidade do
usurio, computao mvel e comunicao remota;
Aquisio,
desenvolvimento
manuteno
de
sistemas
de
informao: segurana sobre desenvolvimento, aquisio e manuteno

de sistemas computacionais;
Gesto de incidentes de segurana da informao: notificao de

eventos de segurana da informao, gerenciamento de incidentes, coleta
de evidncias;
Gesto da continuidade do negcio: anlise das estratgias para

continuidade dos negcios;
Compliance: conformidade de requisitos legais e auditoria.
Cada um destes macro-controles subdividido em vrios outros, totalizando

153 controles de segurana, que visam manter e gerir a segurana da informao na
organizao. Maiores detalhes sobre estes controles podem ser obtidos na prpria
NBR (GONALVES, 2004).
1.4.2 Segurana da Informao
Antes de definir o que segurana da informao, oportuno esclarecer o

que vem a ser um ativo. A norma NBR ISO/IEC 17799 define que numa rede de
computadores podem existir quatro tipos de ativos:
Ativos de informao: base de dados e arquivos, documentao de

sistema, manuais de usurio, material de treinamento, procedimentos de
suporte ou operao, planos de contingncia, procedimentos de
recuperao, informaes armazenadas;
Ativos
de
software:
desenvolvimento e utilitrios;
aplicativos,
sistemas,
ferramentas
de
20
Ativos fsicos: equipamentos computacionais (processadores, monitores,

laptops, modems), equipamentos de comunicao (roteadores, PABX,
fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros
equipamentos
tcnicos
(no-break,
ar-condicionado),
moblia
acomodaes;
Servios: computao e servios de comunicao, utilidades gerais

como, por exemplo, aquecimento, iluminao, eletricidade, refrigerao.
Utilizando como universo os quatro tipos de ativos listados acima e para

delimitar o escopo de entendimento neste captulo, sero abordados os problemas
de segurana relacionados com a informao.
A mesma norma define a informao como um ativo que, como qualquer
outro ativo importante para os negcios, tem um valor para a organizao e,
conseqentemente, necessita ser adequadamente protegida. A segurana da
informao protege a informao de diversos tipos de ameaas para garantir a
continuidade dos negcios, minimizar os danos e maximizar o retorno dos
investimentos (ROI) e as oportunidades de negcio.
A informao pode existir em muitas formas. Ela pode ser impressa ou escrita
em papel, armazenada eletronicamente, transmitida pelo correio ou usando meios
eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.
Uma segurana da informao obtida a partir da implementao de uma
srie de controles, que podem ser polticas, prticas, procedimentos, estruturas
organizacionais e funes de software. Estes controles precisam ser estabelecidos
para garantir que os objetivos de segurana especficos da organizao sejam
atendidos.
A NBR composta por 153 controles distintos e o processo de seleo dos
controles a ser aplicado nem sempre fcil de ser realizado. Para (GONALVES,
2004), para facilitar o processo de seleo de controles podemos utilizar algumas
ferramentas, como por exemplo: a Anlise de Risco de um ambiente, a Legislao
Vigente, os Objetivos e Necessidades da organizao.
21
Da mesma forma que no mundo real as empresas se preocupam em proteger

seu patrimnio contra os mais variados riscos, no mundo virtual a preocupao a
mesma com relao informao.
O principal risco que a informao est exposta so os diversos tipos de
ataques que so executados contra ela.
1.5
METODOLOGIA
1.5.1 Autorizao para pesquisar
Considerando que o desenvolvimento deste trabalho est baseado no

Departamento de uma instituio pblica de ensino superior, foi necessrio obter
uma autorizao para a pesquisa. O documento expedido pelo SENAC
Florianpolis pode ser verificado no Anexo I.
1.5.2 Caracterizao da Pesquisa
Para o desenvolvimento deste Plano Estratgico, se faz necessria a

obteno de dados seguros, o que exige a escolha de um mtodo de pesquisa que
proporcione indicadores confiveis resoluo do problema proposto.
A pergunta que serviu como tema deste trabalho foi: Quais so os dados
mais valiosos que o EQA possui?. Para respond-la foi escolhido, como tcnica de
pesquisa, o estudo de caso qualitativo, o qual indicado em investigaes que
buscam responder a este tipo de questo (YIN, 1994).
1.5.3 Tcnica de Coleta de Dados
Dentre as tcnicas de levantamento de dados descritas por (MARCONI,

2009), este trabalho utilizou trs, que foram:
a) Documentao indireta: Nesta tcnica de pesquisa documental, foram
pesquisados documentos oficiais escritos, tais como:
22
Tabela de Temporalidade: documento que classifica e determina o

tempo de permanncia de cada tipo de documento nos rgos da
UFSC (DMSG, 2009);
Sites oficiais da UFSC (UFSC(a), 2009) e do EQA (EQA, 2009):
contm pginas com informaes de todos os setores da Universidade,
com documentaes oficiais pblicas;
Documentos internos: foram examinados documentos pertinentes
Poltica
de
Segurana
da
Informao,
tais
como
Portaria
337/GR/2007 (Anexo II), que cria o Ncleo de Inovao Tecnolgica

(NIT) e os Termos de Confidencialidade, destinados aos mestrandos e
doutorandos (Anexo III) e pesquisadores (Anexo IV) que utilizam
laboratrios do EQA, cujas pesquisas exigem sigilo.
Legislao Federal: foram examinados diversos documentos oficiais,
aplicveis aos rgos federais, tais como Leis, Decretos e Portarias,
que regulam as boas prticas relativas segurana da informao;
Fluxograma da informao: anlise do fluxograma da informao,
com nfase na rea de pesquisa.
b) Documentao direta: Nesta tcnica de pesquisa documental foram
levantados dados, atravs da pesquisa de campo, no prprio local onde
os fenmenos ocorrem (MARCONI, 2009, p.188), tais como:
Parque tecnolgico: levantamento e anlise dos dados do parque
tecnolgico;
Registro fotogrfico: fotos da estrutura fsica da rede do EQA,
produzidas durante a vistoria do local.
c) Observao direta intensiva: Nesta tcnica optou-se pela entrevista
despadronizada ou no-estruturada (MARCONI, 2009, p.199). A seleo
do entrevistado foi baseada no mtodo no probabilstico com
amostragem intencional, uma vez que a generalizao, no sentido
estatstico, no o objetivo da pesquisa qualitativa (MERRIAM, 1998,
p.61). Alm disso, alguns critrios foram estabelecidos para a escolha do
entrevistado: deveria ter, no mnimo, dez anos de experincia na rea de
informtica e, no mnimo, cinco anos no ambiente da UFSC, no
23
importando o fato de ser homem ou mulher (MORAES, 2000). Os

entrevistados foram:
Gerente do EQA;
Coordenador de pesquisa do EQA;
Coordenador do curso de ps-graduao do EQA;
Supervisor de NDA;
Coordenador do NPD.
Apesar dos prs e contras desta tcnica, obtiveram-se as seguintes
vantagens, limitaes e superaes:
Vantagens:
Maior flexibilidade: O entrevistador pode repetir e/ou esclarecer
as perguntas, e at mesmo formul-las de maneira diferente.
Isto facilitou o entendimento para ambos e, como resultado,
obteve-se um melhor entendimento das medidas de segurana
existentes no Departamento;
Oportunidade para obteno de dados que no se encontram
em fontes documentais e relevantes para o plano estratgico;
Possibilidade de obter informaes mais precisas e que
puderam ser comprovadas no desenvolvimento do plano
estratgico.
Limitaes:
A reteno de alguns dados importantes foi inevitvel, pois, por
se tratar de um trabalho acadmico, no poderiam ser
revelados, para garantir a segurana da rede e da instituio;
Apesar da boa disposio dos entrevistados em fornecer o
mximo de informaes, a entrevista no pode se estender por
um perodo muito longo, o que impediu que alguns temas
fossem abordados com a devida profundidade, mas sem
prejuzo pesquisa.
Limites superados:
Os entrevistados no foram influenciados (de forma consciente
ou inconsciente) pelo entrevistador, principalmente por se tratar
24
de profissionais com larga experincia e vivncia na rea de

informtica e por conhecer profundamente o assunto abordado;
Os entrevistados demonstraram boa disposio em fornecer as
informaes necessrias pesquisa.
1.5.4 Forma de Anlise dos Dados
Conforme sugerido por Merriam (1998), a anlise dos dados foi iniciada
enquanto se fazia a coleta dos mesmos, atravs de anotaes em um dirio de
campo das observaes e reflexes sobre o que estava se passando.
A categorizao dos dados foi realizada baseada na Grounded Theory, de
Glaser & Straus (1967), que ressalta duas estratgias importantes.
A primeira o mtodo constante de comparao, na qual o pesquisador
simultaneamente codifica e analisa os dados coletados para criar conceitos. Atravs
de constantes comparaes de incidentes especficos nos dados, o pesquisador
refina estes conceitos, identifica as propriedades, explora a relao entre os dados e
as integra em uma teoria coerente.
A segunda o mtodo da amostragem terica, na qual o pesquisador
seleciona novos casos de estudo com o potencial dos mesmos em ajudar a expandir
ou refinar os conceitos e teorias j criados previamente.
A Grounded Theory permite captar a essncia do fenmeno, dando sentido
aos dados coletados atravs do agrupamento de conceitos que parecem pertencer
ao mesmo fenmeno (STRAUSS e CORBIN, 1990, p.65). Isso exige a comparao
constante dos dados, um movimento de ir e vir entre pedaos concretos de dados e
conceitos abstratos, entre o raciocnio indutivo e dedutivo, entre a descrio e a
interpretao (MERRIAM, 1998).
A validade dos dados, ou seja, o quanto as descobertas so coerentes com a
realidade, foi assegurada atravs da ratificao dos dados levantados pelos
entrevistados. Contudo, apesar do rigor metodolgico, adverte-se que esse mtodo
no exclui a possibilidade de vieses na interpretao dos dados (MERRIAM, 1998).
25
1.6
OBJETIVO DO ESTUDO
1.6.1 Apresentao da Empresa
O Departamento de Engenharia Qumica e Engenharia de Alimentos faz parte

do centro tecnolgico da Universidade Federal de Santa Catarina UFSC.
O curso de Engenharia Qumica da Universidade Federal de Santa Catarina
foi criado em 13 de outubro de 1978, pela Portaria 428/GR/78, tendo obtido seu
reconhecimento em 11 de janeiro de 1985, conforme Portaria 006/MEC/85.
O objetivo geral do Curso de Engenharia Qumica da UFSC formar
profissionais, engenheiros qumicos, capazes de desempenhar eficientemente suas
tarefas,
atendendo
exigncias
atuais
do
mercado
de
trabalho.
Mais
especificamente, o Curso de Engenharia Qumica pretende preparar profissionais

para atuarem em vrios setores industriais da rea qumica, podendo atuar como
Engenheiros de Projetos, Engenheiros de Processo e de Produo, trabalhando no
desenvolvimento e aprimoramento de novos processos, bem como na pesquisa de
novos produtos.
O Departamento de Engenharia Qumica e Engenharia de Alimentos o
principal responsvel pela parte profissionalizante do curso. Esto lotados neste
departamento 29 professores de dedicao exclusiva, dos quais 3 so mestres, e
todos os demais doutores. O EQA conta temporariamente com 2 professores
substitutos, sendo um doutor e o outro doutorando, e com mais um professor
pesquisador.
O Departamento de Engenharia Qumica e Engenharia de Alimentos da UFSC
tambm atua no Programa de Ps-Graduao em Engenharia Qumica, que surgiu
em 1993, como uma conseqncia natural da qualificao do seu corpo docente,
aliada estruturao fsica de suas dependncias. O programa oferece curso de
Mestrado e Doutorado em Engenharia Qumica e tem uma interao bastante
grande com o curso de graduao.
O curso de graduao em Engenharia de Alimentos da Universidade Federal
de Santa Catarina foi criado em agosto de 1979, tendo obtido seu reconhecimento
em 14 de maro de 1985.
A logomarca do EQA, que por muitos anos foi vinculada ao curso, foi criada
26
em 1989, numa busca bem humorada de representar a complexidade e diversidade

do Engenheiro de Alimentos.
O objetivo geral do curso formar profissionais capacitados para atuar em
processos de transformao industrial de alimentos, desde a seleo da matriaprima adequada industrializao, passando por todas as etapas do processo e
pela definio das melhores condies de distribuio e de armazenamento do
produto acabado. Mais especificamente, o Curso de Engenharia de Alimentos da
UFSC procura formar engenheiros capazes de contribuir para a melhoria e o
desenvolvimento de novos processos de transformao de alimentos nos diferentes
ramos da indstria de alimentos.
Misso: Promover o desenvolvimento cientfico e tecnolgico da

Engenharia Qumica e Engenharia de Alimentos e a funo social do
engenheiro, atravs do ensino, pesquisa e extenso, buscando suprir
as demandas da sociedade e a melhoria da qualidade de vida (EQA,
2009).
2 DIAGNSTICO
O Departamento apresenta algumas iniciativas pontuais de segurana da

informao sem ter uma correlao sistmica.
Aps um levantamento da atual situao do Departamento podemos citar
algumas iniciativas de segurana, tais como:
Uma poltica de uso aceitvel (AUP) destinada aos usurios do

Departamento;
Uma rotina de backup dos computadores da rea administrativa;
Um sistema de vigilncia por imagens das reas externas (Figura 2-1) do

Departamento e interna do bloco E;
27
Figura 2-1: Sistema de monitoramento por imagens das reas externas
Restrio circulao de pessoas no autorizadas em algumas reas

crticas (Figura 2-2), tais como a sala de meios (bloco E) e a sala de
redes;
Figura 2-2: Restrio de acesso no bloco E
Controle de acesso aps expediente no bloco E.
Entretanto, estas abordagens pontuais no so suficientes para caracterizar

uma poltica de segurana da informao no Departamento.
28
2.1
CARACTERIZAO DO AMBIENTE EXTERNO
Campus da Universidade, comunidade universitria e comunidade local

(cidades sede do campus). O mapa da UFSC est representado na Figura 2-3.
29
Figura 2-3: Mapa da UFSC
30
2.1.1 Macro Ambiente
O Estado de Santa Catarina;
O Municpio de Florianpolis
Campus da Universidade Federal do Estado de Santa Catarina (UFSC);
Centro Tecnolgico (CTC);
Departamento de Engenharia Qumica e Engenharia de Alimentos (EQA).
2.1.1.1 Foras Legais
Constituio da Repblica Federativa do Brasil 1988;
Lei 8.112, de 11 de dezembro de 1990, dispe sobre o regimento jurdico

dos servidores pblicos civis da Unio, das autarquias e das fundaes
pblicas federais;
Estatuto da tica dos servidores da UFSC;
Portarias (legislao) expedidas por:
Ministro da Educao;
Secretrio da Educao;
Reitor;
Vice Reitor;
Pr Reitores;
Diretor do CTC;
Chefe do EQA.
Portarias decorrentes de setores administrativos como:

o
Diviso de Segurana e Sade do Trabalhador (DSST);
Departamento de Recursos Humanos (DRH).
Lei 9.983, de 14 de julho de 2000, que altera o Decreto-Lei 2.848, de 7 de

dezembro de 1940 Cdigo Penal e d outras providncia;
Dispositivos legais de carter Federal (Anexo V);
Legislao especfica de carter:

o
Federal (Anexo VI);
Estadual / Distrital (Anexo VII);
31
Municipal (Anexo VIII).
Normas tcnicas (Anexo IX).
2.1.1.2 Foras Polticas
A cada quatro anos h troca dos dirigentes e, conseqentemente, mudana

do quadro administrativo (direo, cargos comissionados, chefia).
Organizaes sindicais (em ordem alfabtica):
ANDES;
APUFSC;
CONLUTAS;
CUT;
FASUBRA;
SINTUFSC.
Determinaes e polticas advindas do alto escalo da administrao pblica

(presidncia da repblica, ministros, diretores e secretariados).
2.1.1.3 Foras Econmicas
Oramento da Unio para a Educao, incentivo das Empresas privadas s

pesquisas e agentes financiadores de fomentao a pesquisa (CAPES, FINEP,
CNPq).
Outros fatores so a conjuntura econmica mundial e nacional que tm
influenciado na qualidade e quantidade dos projetos de pesquisa e nos aportes
financeiros no desenvolvimento destas pesquisas no EQA.
2.1.1.4 Foras Tecnolgicas
Polticas
definidas
pelo
Ministrio
administrativas do NPD e NDA da UFSC.
da
Educao,
polticas
tcnico-
32
Outro fator tambm importante a influncia mundial no desenvolvimento de

tecnologias aos meios acadmicos, no que tange a disponibilidades e a velocidade
do surgimento de novas tecnologias.
2.1.1.5 Foras Ecolgicas
Polticas governamentais definidas pelos rgos competentes (IBAMA,

FATMA e plano diretor municipal).
Esta uma fora bem atuante nos dias atuais, demonstrando a preocupao
da comunidade com a preservao do meio ambiente e o desenvolvimento
sustentvel.
2.1.1.6 Foras Culturais
Referncias culturais provenientes de povos vindos da Europa, africanos e

povos indgenas.
2.1.1.7 Foras Sociais
O ambiente de trabalho, por ser regido pelo Regime Jurdico nico (RJU),
identifica certa ingerncia no comportamento dos funcionrios na ptica da
obedincia das normas, portarias e legislao que regem o ambiente organizacional
do Departamento.
Uma Universidade sugere a sensao de liberdade, sem restries, o que
dificulta a implantao de qualquer norma ou poltica restritiva.
Com relao segurana da informao, por ser um ambiente acadmico
(universitrio) a organizao no possui uma grande preocupao ou cuidado com a
segurana de suas informaes. Isto pode ser comprovado com os ndices baixos
de patentes realizados no Brasil em relao a outros pases.
33
2.1.1.8 Foras Demogrficas
Demografia (Demo = povo, Grafia = estudo), segundo (WIKIPEDIA(a), 2009),

o estudo do povo/populao. A demografia um estudo que engloba desde
estudos individuais e dependentes at projetos do governo em relao populao,
como o IDH.
Apesar de existirem 10 instituies de ensino superior pblicas em Santa
Catarina (WIKIPEDIA(b), 2009) grande a procura da comunidade s vagas
oferecidas pela UFSC. Os dados esto no relatrio emitido pela COPERVE
(COPERVE, 2009) referente aos ltimos 10 anos. A Figura 2-4 apresenta a pgina
18 deste relatrio e na Figura 2-5 possvel verificar a evoluo da relao
candidato/vaga para os cursos do EQA.
Figura 2-4: Relatrio da COPERVE
No grfico da Figura 2-5 observa-se que o curso de Engenharia de Alimentos

teve um aumento de procura entre 1999 e 2003, mas vem perdendo candidatos de
2004 at 2009. A Engenharia Qumica teve um aumento gradativo de candidatos
entre 1999 e 2005, e esta relao tem se mantido estvel at 2009.
34
Demanda candidato/vaga por curso
12
10
Candidato/vaga
0
1999
2000
2001
2002
2003
2004
Ano
2005
2006
2007
Eng. Qumica
Eng. Alimentos Curso
2008
2009
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Eng. Alimentos
8,18
7,16
8,44
8,38
10,2
8,58
8,04
7,2
5,73
5,27
4,52
Eng. Qumica
6,69
6,2
7,09
8,58
8,24
8,49
11,62
9,69
9,56
10,47
11,08
Eng. Alimentos
2009
Eng. Qumica
Figura 2-5: Grfico da demanda candidato/vaga do EQA
Florianpolis est se caracterizando por um centro de excelncia na rea de

educao, ocorrendo uma grande concentrao de acadmicos, professores,
pesquisadores e cientistas.
O aglomerado urbano de Florianpolis (Florianpolis, Biguau,

Palhoa e So Jos) totaliza uma populao estimada para 2002 de
702.988 habitantes, segundo o IBGE. Florianpolis, apesar de ser a
capital do Estado, no a sua maior cidade, tendo uma populao
inferior a de Joinville, que tem uma estimativa para 2002 de 453.766
habitantes segundo IBGE.
Florianpolis, cidade plo do aglomerado urbano, tem uma
populao estimada de 360.601 habitantes em 2002/IBGE. A
populao total do aglomerado representa 94,10% da populao total
do Ncleo da Regio Metropolitana (747.021 habitantes), esta por
sua vez representa 13,51% da populao de Santa Catarina. Em
janeiro de 1998, a Lei Complementar n 162 instituiu a Regio
Metropolitana de Florianpolis, a primeira a ser criada no Estado com
objetivo principal de dinamizar as solues dos problemas urbanos
comuns.
O Municpio de Florianpolis composto por 12 distritos que se
concentram na Ilha. Segundo dados do IBGE de 2000, destaca-se o
distrito sede com maior populao (213.574 habitantes). Em mdia,
cada distrito possui 9.127 habitantes. A Ilha possui 85 comunidades,
sendo a comunidade do Centro a com o maior nmero de habitantes
35
(41.827). No Continente, que possui 9 comunidades, Capoeiras o

mais populoso, com 17.905 habitantes, enquanto que a comunidade
de Bom Abrigo perfaz 1.196 habitantes.
A densidade demogrfica de Florianpolis em 2000 corresponde a
760,10 hab/km2 (PMF, 2009).
2.1.2 Ambiente Especfico
A caracterizao do ambiente especfico corresponde seguinte estrutura:
Repblica Federativa do Brasil;
Ministrio da Educao (MEC);
Universidade Federal de Santa Catarina (UFSC);
Centro Tecnolgico (CTC);
Departamento de Engenharia Qumica e Engenharia de Alimentos (EQA);
Unidade administrativa de laboratrio.
2.1.2.1 Principais Fornecedores e Insumos
Os principais fornecedores so os patrocinadores, empresas ou entidades

que desejam patrocinar as pesquisas e projetos e o Governo do Estado de Santa
Catarina (atravs da FAPESC);
Os insumos so os temas e idias transformadas em artigos, registro de
patentes, relatrios tcnicos, publicaes acadmicas (monografias, dissertaes e
teses) ou outras formas de publicaes.
No fluxograma do processo de pesquisa (Figura 2-6) possvel verificar o
processo de transformao destes insumos.
36
Figura 2-6: Fluxograma da pesquisa
2.1.2.2 Principais Empresas Concorrentes
As principais concorrentes do EQA so as instituies de ensino de nvel

superior nacional, tais como (em ordem alfabtica):
CESUSC;
COPPE;
37
IF-SC;
SENAI;
UDESC;
UNISUL;
UNIVALI;
e outras.
Alm destas, tambm entram na lista:
Instituies de Educao de nvel superior internacionais;
Centros de pesquisas nacionais;
Centro de pesquisas internacionais;
Naes com grande interesse na obteno de patentes com o objetivo de

criar uma reserva de mercado para futuras exploraes. Alguns exemplos
seriam: Estados Unidos da Amrica, Japo, Alemanha, entre outras.
2.1.2.3 rgos Reguladores e Fiscalizadores do Segmento
Os principais rgos reguladores so:
Ministrio da Educao;
Financiadora de Estudos e Projetos (FINEP);
Coordenao de Aperfeioamento de Pessoal de Nvel Superior

(CAPES);
Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico (CNPq);
Empresas parceiras.
38
2.1.2.4 Principais Organizaes que Atuam Como Parceiras
Fundaes:
Fundao de Estudos e Pesquisas Scio-Econmicos (FEPESE);
Fundao de Ensino e Engenharia de Santa Catarina (FEESC);
Fundao Centros de Referncia em Tecnologia Inovadora (CERTI);
Fundao Jos Arthur Boiteaux (FUNJAB).
Empresas:
Petrobras;
Embraco;
Sadia;
CNPq;
FINEP;
CAPES.
2.1.2.5 Mercado Tecnolgico
Possui solues engessadas e com alto valor comercial, invivel para o

caso.
Numa instituio pblica as aquisies de tecnologia e equipamentos so
realizadas via preges e licitaes, obedecendo, portanto, lei do menor preo,
conseqentemente no segue um padro pr-definido.
Qualquer empresa pode ser fornecedora desde que preencha os requisitos
obrigatrios no registro de cadastro (SICAF).
A Lei 8.666, de 21 de junho de 1993, regulamenta o art. 37, inciso XXI, da
Constituio Federal, institui normas para licitaes e contratos da Administrao
Pblica e d outras providncias.
39
2.1.2.6 Mercado de Informao
As informaes so coletadas pelos pesquisadores da seguinte forma:
Consulta aos professores titulares dos temas desenvolvidos;
Levantamento bibliogrfico a livros da rea;
Consulta a teses e dissertaes que desenvolveram o tema da pesquisa;
Pesquisa a artigos de peridicos e revistas;
Participaes em congressos da rea para verificar que caminho os

colegas da rea esto tomando (benchmarking);
Consulta a outros centros de pesquisa nacionais e internacionais;
Cursos e treinamentos tcnicos.
Os resultados finais das pesquisas so:
Monografias, teses, dissertaes;
Relatrios de consultoria;
Artigos pblicos em veculos prprios;
Patentes.
A administrao da UFSC disponibiliza estas informaes atravs da

Biblioteca Central, atravs de vrios convnios, tais como assinatura de revistas,
peridicos e outros, alm de possuir um vasto acervo bibliogrfico incluindo
monografias, teses e dissertaes, disponveis para os pesquisadores.
A administrao presta auxlio atravs do fornecimento de passagens e
pagamento de dirias, para os pesquisadores participarem de congressos nacionais
e internacionais.
40
2.1.3 Principais Tendncias Culturais e Tecnolgicas em Relao Segurana

da Informao
Gabinete de Segurana Institucional (GS)I: Gabinete vinculado

Presidncia da Repblica, tem como funo definir as polticas de segurana da
informao na administrao pblica. Pela Medida Provisria (MP) 1.911-10, de 24
de setembro de 1999, que altera dispositivos da Lei 9.649, de 27 de maio de 1998,
passou Casa Militar a chamar-se Gabinete de Segurana Institucional. No art. 24A, criou-se o cargo de Ministro-Chefe do Gabinete de Segurana Institucional da
Presidncia da Repblica.
INSTRUO NORMATIVA GSI N1, de 13 de junho de 2008: Disciplina a
Gesto de Segurana da Informao e Comunicaes na Administrao Pblica
Federal, direta e indireta, e d outras providncias.
Comit Gestor da Segurana da Informao: Criado pelo Decreto 3.505 de
13 de junho de 2000, o Comit Gestor da Segurana da Informao assessora a
Secretaria Executiva do Conselho de Defesa Nacional, na consecuo das diretrizes
da Poltica de Segurana da Informao, nos rgos e nas entidades da
Administrao Pblica Federal, bem como na avaliao e anlise de assuntos
relativos aos objetivos estabelecidos nesse Decreto.
Decreto 3.505, de 13 de junho de 2000: Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal.
Lei 9.610, de 19 de fevereiro de 1998: Altera, atualiza e consolida a
legislao sobre direitos autorais e d outras providncias.
2.2
CARACTERIZAO DO AMBIENTE INTERNO
O ambiente interno caracteriza-se por um nvel baixo de controle de

segurana da informao, sendo que as aes so pontuais, no apresentando
conexo (sistmico).
O Oramento insuficiente para atender todas as demandas referentes
Tecnologia da Informao.
41
2.2.1 Ambiente Organizacional
ambiente
organizacional corresponde
um
modelo
clssico
de
administrao. O organograma hierrquico e departamentalizado.

Organizado atravs de normativa, criada internamente e imposta pelo
Ministrio da Educao.
2.2.1.1 Situao nos Negcios
Conforme pode ser verificado na Tabela 2-1, a UFSC est entre as 15

melhores Universidades do Brasil.
O programa de ps-graduao em engenharia qumica e engenharia de
alimentos tem conceito 5 na CAPES.
Tabela 2-1: Grande rea da Engenharia Qumica
PROGRAMA
IES
UF
Des. de Processos Ambientais
UNICAP
PE
CONCEITO
M
D
F
3
-
Engenharia de Processos
UFCG
PB
Engenharia de Processos Qumicos e
Bioqumicos
UFSM
UNIVILLE
UNIT-SE
CEUN-IMT
RS
SC
SE
SP
3
3
3
3
3
4
5
6
UFAL
AL
Engenharia Qumica
Engenharia Qumica
Engenharia Qumica
Engenharia Qumica
Engenharia Qumica
UFBA
UFBA
UFC
UFSC
FURB
BA
BA
CE
SC
SC
3
4
5
3
4
4
5
-
8
9
10
25
26
Fonte: CAPES (CAPES, 2009).
Ranking
1
42
2.2.1.2 Investimentos em Tecnologia
Da mesma forma que todas as instituies pblicas, a UFSC tm seus gastos

previstos em oramentos anuais.
O oramento elaborado pela Administrao Central, atravs da Secretaria
de Planejamento e Finanas, e encaminhado ao Conselho Universitrio para
aprovao.
Conforme publicado em (UFSC(b), 2009) e disponvel na Figura 2-7,
possvel verificar o oramento previsto para o item Aes de Informtica, na linha
referente coluna PTRES 024764. O valor total estimado para 2009 de R$
730.000,00 (setecentos e trinta mil reais).
Figura 2-7: Oramento 2009 - UFSC
No EQA existe um planejamento de reestruturao fsica da rede (switch,

servidores, impressoras de rede, etc.) vigente para o perodo de 2008 a 2011 que
corresponde ao planejamento estratgico do Departamento.
2.2.1.3 Disposio do Espao Fsico
O Departamento constitudo de oito blocos (blocos A, B, C, D, E, de sala de

aula, e os novos I e II). As funcionalidades de cada bloco so as seguintes:
Administrativo: Bloco E.
43
Neste bloco esto as coordenadorias dos cursos de graduao e psgraduao onde so processados os documentos dos acadmicos
(conceito, histrico, programa, atestado de freqncia, memorandos,
portarias, etc.).
Laboratrios: Blocos A, B, C, D e os novos I e II.

Em cada um destes blocos esto localizados os laboratrios vinculados
aos programas de ps-graduao do EQA, que so:
a) Curso de Ps-Graduao em Engenharia Qumica (CPGENQ);
b) Curso de Ps-Graduao em Engenharia de Alimentos (CPGEA).
Salas de aula: Blocos E e de salas de aula.

As salas de aula so destinadas aos acadmicos dos cursos de
graduao e ps-graduao, dos cursos de engenharia qumica e
engenharia de alimentos, e eventualmente atende outros cursos da
UFSC.
2.2.2 Ambiente Informacional
O EQA tem como misso Promover o desenvolvimento cientfico e

tecnolgico da Engenharia Qumica e Engenharia de Alimentos e a funo social do
engenheiro, atravs do ensino, pesquisa e extenso, buscando suprir as demandas
da sociedade e a melhoria da qualidade de vida.
2.2.2.1 Estratgia Informacional
O EQA possui programas de ps-graduao (mestrado e doutorado) em

Engenharia Qumica (CPGENQ, 2009) e Engenharia de Alimentos (CPGEA, 2009),
cujas estratgias informacionais esto listadas a seguir:
Estratgia informacional do Curso de Ps-Graduao em Engenharia

Qumica (CPGENQ):
o Linhas de pesquisa do CPGENQ:
Engenharia de Reaes Qumicas e Desenvolvimento de

Materiais:
44
Pirlise e gaseificao de carvo mineral;
Catlise ambiental;
Desativao e regenerao de catalisadores;
Reatores heterogneos;
Processos sol-gel;
Materiais cermicos;
Desenvolvimento de materiais bactericidas;
Otimizao
energtica
controle
de
emisses
em
queimadores de fonte fixa;
Processos avanados de oxidao;

o Laboratrios e Grupos:
Laboratrio de Energia e Meio Ambiente

LEMA;

Laboratrio de Materiais e Corroso LABMAC.
Engenharia Genmica e Engenharia Biomdica:
Bioinformtica;
Engenharia metablica;
Genmica funcional e estrutural;
Engenharia de tecidos;
Neuroengenharia;
Modelagem matemtica de processos neurobiolgicos;
Fluxo sanguneo cerebral e metabolismo;
Arquitetura de redes de neurnios;

Laboratrio de Neuroengenharia Computacional

NEUROLAB;
Laboratrio
de
Tecnologias
Integradas
INTELAB.
Fenmenos de Transporte e Meios Porosos:
Desenvolvimento de mtodos numricos;
Experimentao, modelagem e simulao de problemas de

transferncia de calor, massa e quantidade de movimento
em meios porosos, reatores qumicos e biorreatores;
45
Processos da indstria txtil;
Processos da indstria petroqumica, petrleo e gs;
Processos da indstria de papel e celulose;
Produtos naturais;
Processos de alimentos;
Racionalizao e reuso de guas;
Problemas ambientais;
o Laboratrios:
Laboratrio de Simulao Numrica de Sistemas

Qumicos LABSIN;
Laboratrio de Sistemas Porosos LASIPO;
Laboratrio de Transferncia de Massa

LABMASSA.
Modelagem, Otimizao e Controle de Processos:
Otimizao de produo em plantas de multipropsito;
Otimizao e controle de processos fermentativos;
Otimizao e controle de plantas de extrao supercrtica;
Modelagem estatstica em substratos fractais;
Desenvolvimento de estratgias de controle de processos;
Inteligncia artificial aplicada;
Dinmica e controle de reatores de polimerizao;
Controle de processos aplicado indstria de petrleo e

gs natural;
Modelagem e identificao de processos;

o Laboratrios:
Laboratrio de Controle de Processos LCP;
Processos Biotecnolgicos;
Termodinmica e Processos de Separao.
Processos Biotecnolgicos:
Cultivo de clulas em biorreatores no-convencionais;
Produo
de
aromas
biotecnolgicos;
Produo de biopolmeros;
pigmentos
via
processos
46
Valorizao biotecnolgica de resduos agroindustriais;
Catlise enzimtica;
Tratamento biolgico de resduos;
Remoo biolgica de nutrientes;
Recuperao
avanada
de
petrleo
por
processos
biolgicos.
o Laboratrios:
Laboratrio
de
Engenharia
Bioqumica
de
Tratamento
Biolgico
de
ENGEBIO;
Laboratrio
Resduos - LTBR
Termodinmica e Processos de Separao:
Determinao experimental de dados de equilbrio de

fases;
Predio de propriedades termodinmicas e de transporte;
Extrao supercrtica de aromas e essncias;
Sntese de sistemas de separao;
Processos de separao por membranas, adsoro,

destilao e extrao;
Valorizao de produtos derivados de celulose e papel;
Separao de terpenos e terpenides.

Laboratrio de Transferncia de Massa

LABMASSA;
Laboratrio de Controle de Processos LCP.
Estratgia informacional do Curso de Ps-Graduao em Engenharia

Qumica (CPGEA):
o Linhas de Pesquisa CPGEA:
Transferncia de Calor e Massa no Processamento de

Alimentos;
Processos de Separao: Extrao Supercrtica e Separao

com Membranas;
Processos Biotecnolgicos e Cintica Microbiana Aplicada;
47
Desenvolvimento de Processos e Produtos.
o Projetos de Pesquisa:
Desenvolvimento, otimizao e controle de processos;
Produo de Aromas e Polmeros por Via Biotecnolgica;
Desenvolvimento de Tecnologias Limpas;
Transferncia de Calor e Massa Aplicada;
Reologia e Propriedades Fsicas de Alimentos;
Secagem e Desidratao de Alimentos;
Resfriamento e Congelamento de Alimentos;
Processos de Separao com Membranas;
Extrao Supercrtica de Produtos Naturais;
Desenvolvimento de Biofilmes de Amido e Protenas;
Desenvolvimento de Novos Produtos.
2.2.2.2 Poltica da Informao
Crescendo e aumentando cada vez mais o consumo da tecnologia que

controla, classifica e armazena a informao, entende-se ser importante a
normatizao do trato deste ativo com procedimentos de classificao com relao
ao seu grau de criticidade, manipulao e backups.
A poltica da informao na administrao pblica federal definida pelo
Gabinete de Segurana Institucional da Presidncia da Repblica, por intermdio do
Departamento de Segurana da Informao e Comunicaes, rgo este vinculado
direto Presidncia da Repblica, onde definida a legislao que trata sobre as
polticas da informao junto s reparties pblicas federais.
2.2.2.3 Cultura e Comportamento em Relao Informao
reas de conhecimento e pesquisa so bem definidas havendo, em alguns

momentos, conflitos quando ocorre invaso de rea por outra equipe.
Conforme o tipo de projeto de pesquisa existe um tratamento com relao s
informaes pertinentes ao projeto.
48
Para alguns so definidas polticas referentes disponibilizao de

informaes e restrio de acesso, geralmente solicitadas pelos parceiros quando o
projeto tem potencial para gerar uma patente.
No trato da informao, o Departamento de Inovao Tecnolgica (DIT, 2009)
orienta aos pesquisadores de como tratar a informao nos projetos de pesquisa.
2.2.2.4 A Equipe Especializada em Informao
O Ncleo de Processamento de Dados (NPD) e o Ncleo de Desenvolvimento

e Assessoramento Tcnico (NDA) respondem pela equipe especializada em
informao no Departamento.
As informaes geradas nas pesquisas so de responsabilidade do
coordenador de projeto, em que o mesmo armazena estas informaes no ambiente
corporativo denominado NOTES UFSC, e o coordenador acessa este ambiente
atravs de login/senha. O servio deste ambiente disponibilizado on-line atravs
de um servidor que fica localizado no prdio do NPD, o qual submetido a
processos de redundncia da informao.
2.2.2.5 Processos de Gerenciamento da Informao
Processo I (acadmico):
Desenvolvimento das pesquisa/trabalho;
Elaborao das dissertao/monografias/relatrios;
Armazenamento na secretaria do curso de ps-graduao (um exemplar

em papel e outro em mdia CD/DVD);
Armazenamento nas bibliotecas (um exemplar em papel e outro em mdia

CD/DVD).
Processo II (administrativo):
Desenvolvimento das rotinas administrativas;
Trato da informao conforme a Tabela de Temporalidade (DMSG, 2009);
Armazenamento na CPU e no sistema;
49
Backup.
Processo III (pesquisas):
Gerao das informaes (relatrios);
Administrao do coordenador de projeto;
Armazenamento no sistema NOTES UFSC;
Backup do servidor NOTES UFSC.
O gerenciamento das informaes na UFSC definido pela legislao a

seguir:
Lei 8.159, de 08 de janeiro de 1991: Dispe sobre a poltica nacional de

arquivos pblicos e privados e d outras providncias.
Decreto 4.073, de 03 de janeiro de 2002: Regulamenta a Lei 8.159, de

08 de janeiro de 1991.
Decreto 2.134, de 24 de janeiro de 1997: Regulamenta o art. 23 da Lei

8.159, de 08 de janeiro de 1991, que dispe sobre a categoria dos
documentos pblicos sigilosos e o acesso a eles, e d outras
providncias.
Existe uma comisso permanente de avaliao de documentos com as

seguintes atribuies:
Reviso e adaptao da Tabela de Temporalidade da UFSC (DMSG,

2009);
Orientar a sua aplicao, dirimindo possveis dvidas;
Orientar o processo de seleo dos documentos;
Proceder reviso peridica dos documentos relativos s atividades

meio.
Os Departamentos da UFSC utilizam como referncia para o trato da

informao, a Tabela de Temporalidade.
Tabela de Temporalidade o instrumento de destinao,

aprovado por autoridade competente, que determina prazos e
condies de guarda tendo em vista a transferncia,
recolhimento, descarte ou eliminao de documentos. A Tabela
50
de Temporalidade poder ser apresentada de duas formas:

Tabela de Temporalidade de Atividade Meio e Tabela de
Temporalidade de Atividade Fim (DMSG, 2009).
2.2.2.6 Arquitetura da Informao
Atravs de um levantamento visual no Departamento no EQA, constataram-se

deficincias de:
Segurana patrimonial;
Controle de acesso fsico;
Controle de acesso lgico;
Controle de armazenamento;
Instalao da rede fsica.
2.2.3 Relatrio Tcnico da Estrutura de Redes
2.2.3.1 Diagrama da Topologia de Rede
A rede lgica do EQA, representada atravs da Figura 2-8, supre a

comunicao entre os ativos de rede dos cinco blocos do departamento e o NPD,
utilizando-se do conjunto de protocolos TCP/IP.
O projeto utiliza uma estrutura hierrquica e tem seu ponto central no Bloco D.
Observando o desenho possvel identificar as trs camadas dessa hierarquia:
Camada Core: Localizada no Bloco D;
Camada de distribuio: Localizada nos Blocos B, D e E.
Camada de acesso: Identificada nos demais switches espalhados nos

Blocos B, C, D e E.
Apesar das camadas estarem nitidamente identificadas, existem mais de trs

nveis de cascateamento, o que pode causar atrasos e dependncias. Os switches
foram distribudos desordenadamente para atenderem necessidades locais e
imediatas, gerando uma estrutura com muitos saltos nos Blocos D e E. A topologia
utilizada do tipo Hub-and-Spoke.
51
Existem dispositivos conectados a mais de uma camada, o que pode causar

problemas inesperados de roteamento.
Figura 2-8: Rede lgica do EQA
2.2.3.2 Endereamento de Rede
O EQA utiliza endereos IP pblicos de classe B, com mscara de classe C

(255.255.255.0).
As estaes e servidores so endereados de acordo com as VLANs
definidas nesta rede. Existem cinco VLANs, identificadas no terceiro octeto, de
acordo com a seguinte distribuio:
VLAN 70: Denominada EQA, est localizada no Bloco E e atende
52
administrao do EQA e professores;
VLAN 71: Denominada LCP, est localizada no Bloco D e atende ao

laboratrio dos professores Ricardo e Ariovaldo;
VLAN 72: Denominada INTELAB, est localizada no Bloco D e atende ao

laboratrio dos professores Luismar e Leonel;
VLAN 73: Denominada LABSIN, est localizada no Bloco E e atende aos

professores;
VLAN 81: Denominada ALUNOS, est localizada nos Blocos B e C e

atende aos alunos e reas comuns.
O servio de resoluo de nomes (DNS) executado no NPD.

O esquema de roteamento no complexo. Nos switches so utilizados
protocolos Ethernet e Spanning Tree. Alm destes, nos switches onde esto
definidas as VLANs, utilizado o protocolo Trunking.
Nos roteadores os protocolos so configurados, dependendo do trfego:
Interno: Para atender s necessidades de roteamento da rede do EQA

so utilizados os protocolos RIP, IGRP e OSPF, dependendo da
complexidade e quantidades de redes que sero roteadas;
Externo: Os roteadores de borda utilizam protocolo BGP, por ser mais

adequado funo que exerce.
2.2.3.3 Componentes de Rede
A rede composta de ativos, como switches, roteadores e access points e

passivos, tais como cabeamento, patch pannels, racks e nobreaks. Tais
componentes so adquiridos atravs de licitao obedecendo a requisitos tcnicos
mnimos. Abaixo so apresentados os modelos dos principais componentes da rede:
Switch E1 Matrix Gigabit 1G587-09;
Switch 3COM 2016;
Switch Allied Telesis AT-FS724L;
Switch gerencivel Furukawa 5026;
Switch gerencivel Planet FGSW-2620VM;
Switch gerencivel Tiger SMC8024L2;
53
Switch D-Link DES-1024D;
Access Point wireless Linksys WRT54gs;
Access Point wireless D-Link DWL-2100AP;
Nobreak Power Sinus 3,2kVA.
2.2.3.4 Servios de Rede Disponveis
Os servios de rede disponveis esto distribudos da seguinte forma:
Bloco B - servio FTP;
Bloco D servio FTP e cluster;
Bloco E servios FTP, HTTP e aplicativos;
NPD servios FTP e correio eletrnico (IMAP, POP, SMTP);
Demais Blocos laboratrios;
CIFS;
VPN.
2.2.4 Sistemas Operacionais e Aplicativos Utilizados
2.2.4.1 Sistemas Operacionais
O parque de mquinas do EQA composto de estaes de trabalho e

servidores. A Tabela 2-2 apresenta os sistemas operacionais que esto instalados
nestes equipamentos. Verifica-se que so utilizados sistemas operacionais livres e
proprietrios.
Tabela 2-2: Sistemas operacionais.
Sistema
Licenciamento
Aplicao
Microsoft Windows 2003 Server
Software proprietrio
Servidores
Microsoft Windows XP
Estaes de trabalho
Open SUSE Linux
Software Livre
Servidores
Ubuntu
Software Livre
Estaes de trabalho
54
2.2.4.2 Aplicativos
Para as atividades executadas no EQA so necessrios diversos aplicativos

para os mais variados objetivos. A lista destes softwares apresentada na Tabela 23, onde pode ser verificada a presena de aplicativos livres e proprietrios.
Tabela 2-3: Principais Aplicativos
Software
Licenciamento
Adobe Acrobat Reader
Aplicao
Software proprietrio livre Leitor de arquivos formato

PDF
Adobe Acrobat Writer 5.0 Software proprietrio
Gerador de arquivos formato

PDF
Autocad
Desenho tcnico
Broffice.org
Software livre
Editorao de texto, planilha

eletrnica, apresentao,
etc.
CFX
Simulador para rea de

engenharia
Estatstica
Auxiliar em mtodos
estatsticos
F-secure
Antivrus
Matemtica
Auxiliar clculos de
engenharia
Matlab
Voltado para clculos

numricos e matrizes
Microsoft Office
Editorao de texto, planilha

eletrnica, apresentao,
etc.
Pr-engineer
Desenho tcnico
2.2.5 Fatores Crticos de Sucesso em Relao Segurana da Informao
Os fatores crticos de sucesso, em ingls Critical Success Factor

(CSF), so os pontos chave que definem o sucesso ou o fracasso de
um objetivo definido por um planejamento de determinada
organizao. Estes fatores precisam ser encontrados pelo estudo
sobre os prprios objetivos, derivados deles, e tomados como
condies fundamentais a serem cumpridas para que a instituio
sobreviva e tenha sucesso na sua rea. Quando bem definidos, os
fatores crticos de sucesso se tornam um ponto de referncia para
55
toda a organizao em suas atividades voltadas para a sua misso

(WIKIPEDIA(c), 2009).
Os fatores crticos de sucesso para que este Plano Estratgico de Segurana

da Informao seja bem sucedido, so:
Comprometimento da Reitoria e da alta gerncia;
Poltica oramentria da rea;
Patrocinadores;
Comprometimento dos usurios do EQA;
Disponibilidade de um profissional que d continuidade ao plano de

Segurana da Informao;
Disponibilidade dos recursos tecnolgicos;
Planejamento estratgico eficiente.
3 ANLISE
3.1
ANLISE EXTERNA
3.1.1 Principais Oportunidades
A implantao de um plano de segurana da informao do Departamento

EQA facilitar a associao com novos parceiros estratgicos que tambm se
preocupam com o trato de suas informaes num ambiente externo (principalmente
espionagem de patentes).
Gerar tambm um maior crdito das aes do Departamento frente a
Universidade.
3.1.2 Principais Ameaas
A principal ameaa corresponde espionagem industrial e a incidentes que

possam comprometer o desenvolvimento de patentes.
56
3.2
ANLISE INTERNA
3.2.1 Pontos Fortes
O Departamento j possui uma iniciativa no ambiente para proteo de suas

informaes, o que diminui bastante a rejeio nova poltica que ser proposta.
3.2.1.1 Aspectos Culturais / Comportamentais
O ambiente de uma universidade, em especial um laboratrio, constitudo

em sua maioria por profissionais com formao educacional, sendo na sua maioria
composto por mestres e doutores, o que diminui bastante a rejeio cultural e
comportamental para implantao de uma poltica de segurana.
3.2.1.2 Fontes de Poder e Poltica da Informao
Agentes financiadores da pesquisa:

o CAPES;
o FINEP;
o Empresas pblicas;
o Empresas privadas.
Pr-reitoria de ps-graduao;
Coordenadoria de ps-graduao;
Coordenador do projeto de pesquisa.
Os processos esto definidos conforme:
A Tabela de Temporalidade (DMSG, 2009);
As leis:
o
Lei 8.159, de 08 de janeiro de 1991: Dispe sobre a poltica nacional
57
de arquivos pblicos e privados e d outras providncias;

o
Decreto 4.073, de 03 de janeiro de 2002: Regulamenta a Lei 8.159,

de 08 de janeiro de 1991;
Decreto 2.134, de 24 de janeiro de 1997: Regulamenta o art. 23 da

Lei 8.159, de 08 de janeiro de 1991, que dispe sobre a categoria dos
documentos pblicos sigilosos e o acesso a eles, e d outras
providncias.
As determinaes do Gabinete de Segurana Institucional da Presidncia

da Repblica, por intermdio do Departamento de Segurana da
Informao e Comunicaes (DSIC, 2009);
As determinaes do Departamento de Inovao Tecnolgicas (DIT,

2009) da UFSC.
3.2.1.4 Equipes de Profissionais
Os profissionais do NPD/UFSC;
A equipe do NDA/EQA/UFSC;
Os profissionais do DIT/UFSC;
Os bibliotecrios e arquivistas do DMSG/UFSC.
3.2.1.5 Estrutura Fsica
Switches gerenciveis;
Placa de rede padro Ethernet;
Cabeamento estruturado Cat 5e;
Sistema de monitoramento de vdeo/TV;
Sistema de controle de acesso aos blocos por carto.
58
3.2.1.6 Estrutura Lgica
Endereamento classe B (150.162.xxx.xxx);
Protocolo Ethernet: IEE 802.3u, IEE 802.3ab e IEE 802.3z;
Servios: HTTP, HTTPS, WWW, FTP, SMTP, POP3, SNMP, VoIP,

Servidor de arquivo e impresso;
Sistema de suporte: helpdesk do NPD e do NDA;
Recuperao de falhas;
Software setorial: Windows XP, Ubuntu Linux, CFX, Office windows,

BrOffice.org, CFX, Matlab, Adobe Acrobat;
Atualizaes.
3.2.2 Pontos Fracos
3.2.2.1 Aspectos Culturais / Comportamentais
Por ser uma repartio pblica, onde os funcionrios so regidos pelo RJU,
um fator complicador fazer com que respeitem a poltica de segurana na sua
integralidade.
3.2.2.2 Fontes de Poder e Poltica da Informao
O cargo de Chefe Departamental tem uma influncia parcial, j que no tem o

poder de demitir.
complicado a sua operacionalizao no ambiente organizacional de um

Departamento.
59
3.2.2.4 Equipes de Profissionais
H necessidade que a organizao tenha um Comit de Segurana da

Informao vigente e atuante.
3.2.2.5 Estrutura Fsica
O Departamento necessita adequar a sua tecnologia de informao s

normas e padres existentes. O exemplo mais evidente est no fato do EQA no
possuir um sistema de cabeamento estruturado.
Os racks que comportam os switches deveriam ser fechados para
impossibilitar a conexo no autorizada de um computador s portas do switch.
As tomadas de rede, localizadas nas paredes, deveriam possibilitar o acesso
internet somente com autorizao do administrador, atravs de controle por
endereo MAC.
3.2.2.6 Estrutura Lgica
Recuperaes de falhas: no possui.

Atualizao: devido ao fato da maioria dos programas no ser licenciados,
no possibilita atualizao.
3.3
SITUAO ATUAL
Em
visitas
realizadas
ao
EQA,
os
autores
identificaram
algumas
vulnerabilidades. Abaixo elencamos as que devem ser consideras com maior

relevncia:
Ausncia de servidor de arquivos: Com a ausncia de um servidor para

concentrar os arquivos gerados pelo departamento, as informaes esto
guardadas em vrios equipamentos o que dificulta a administrao e as
cpias de segurana;
60
Ausncia de servidor de backup: Alm da ausncia de um servidor para

a concentrao de informaes, o Departamento tambm necessita de
um servidor de backup. Esta deficincia gera desconformidade em
relao salva-guarda da informao e da retirada da cpia do local de
origem em dispositivo distinto, conforme itens 10.5 10.7 da ABNT NBR
ISO/IEC 17799:2005;
Ausncia de autenticao de usurios na rede: Constatou-se ausncia

na identificao dos usurios que acessam os recursos da rede do
Departamento, dificultando assim o gerenciamento dos acessos lgicos,
item 11.5.2 da ABNT NBR ISO/IEC 17799:2005;
Sistemas operacionais sem licenciamento: Foram detectadas estaes

de trabalho com sistemas operacionais sem licenciamento e consequente
falta de atualizao adequada, o que compromete a segurana da rede;
Aplicativos sem licenciamento: Foram detectadas estaes de trabalho

com aplicativos sem licenciamento e consequente falta de atualizao
adequada, o que compromete a segurana da rede;
Cabeamento no estruturado, com pontos de rede expostos: O

cabeamento da rede lgica no estruturado e possui inmeros itens
desconformes em relao a acessos lgicos e fsicos, alm da falta de
documentao. Existem cabos de rede UTP, indicados para utilizao
interna, expostos ao tempo e ao ataque fsico. A Figura 3-1 apresenta um
exemplo de cabos UTP expostos ao tempo e a ataques fsicos;
61
Figura 3-1: Cabeamento externo exposto ao tempo e ataques fsicos
Distribuio irregular de ativos na rede: Alguns hubs e switches no

gerenciveis (Figura 3-2) esto distribudos pela rede sem controle,
aumentando assim os pontos de falha e acessos fsicos indevidos rede;
Figura 3-2: Switch no gerencivel instalado de forma irregular
Estrutura de madeira: Alguns blocos do EQA possuem construo em

madeira, nos quais existe a acomodao de equipamentos e instalaes
62
eltricas antigas, e fogareiros para experincias qumicas, o que aumenta

o risco de incndio no local;
Figura 3-3: Edificao com estrutura de madeira
Endereos IP pblicos nas estaes de trabalho: Foi constatado que

todos os equipamentos da rede do EQA esto configurados com
endereamento IP pblico, o que expe a rede ataques oriundos
principalmente da Internet;
Falta de controle de acesso fsico: Contrariando a ABNT NBR ISO/IEC

17799:2005, no h poltica regulamentar sobre o acesso fsico. A Figura
3-4 apresenta o exemplo de carto magntico de acesso, sem foto ou
identificao do usurio. O claviculrio geral acessado por funcionrio
da UFSC e funcionrios de empresas terceirizadas, dando acesso todas
as dependncias do Departamento, com exceo a alguns laboratrios,
que possuem acesso por autenticao;
63
Figura 3-4: Falta de controle o acesso fsico
Impressoras expostas: Existem impressoras instaladas em vrios

corredores onde o material impresso pode sofrer um ataque indevido.
Alm disso, o ponto de rede que alimenta a impressora pode ser
facilmente utilizado para acesso rede, atravs de equipamento porttil,
conforme pode ser verificado na Figura 3-5;
Figura 3-5: Ponto de rede da impressora sem proteo e em local pblico
64
Energia eltrica: No h tratamento quanto a minimizar os impactos da

falta de energia eltrica. H ausncia de no-breaks e grupos geradores.
Tambm no h redundncia na alimentao da energia. H casos em
que o cabeamento eltrico (preto) compartilha o mesmo duto ou h
cruzamento com o cabeamento lgico (azul), o que pode ocasionar curto
circuito ou interferncia eletromagntica, conforme pode ser verificado na
Figura 3-6;
Figura 3-6: Exemplo de instalao incorreta de cabeamento eltrico e de dados
Utilizao indevida de access points: Constatou-se a utilizao de

access points atravs de senhas compartilhadas. Este tipo de prtica
contraria o item 10.6.2 da ABNT NBR ISO/IEC 17799:2005;
65
Figura 3-7: Exemplo de um dos access points irregulares
No h poltica para navegao: No existe controle para o servio de

navegao na internet;
No h poltica para utilizao de e-mail: No existe controle para o

servio de correio eletrnico;
H uma poltica de uso aceitvel: Existe uma poltica de uso aceitvel,

que est sendo levada em considerao para a construo deste plano
de segurana, mas insuficiente como poltica de segurana;
Acesso BIOS dos desktops sem senha: As interfaces USB das

estaes de trabalho esto habilitadas para receber qualquer tipo de
dispositivo, o que aumenta as vulnerabilidades da rede.
66
4.1
ESTRATGIAS DE SEGURANA DAS INFORMAES
ETAPA CONCEITUAL
4.1.1 Classificao da Informao
A Classificao da Informao ajuda a definir nveis e critrios adequados de

proteo das informaes, garantindo a confidencialidade, conforme a importncia
da organizao.
As
informaes,
tanto
em
meio
fsico
quanto
eletrnico,
possuem
necessidades de proteo quanto a confidencialidade, integridade e disponibilidade,

bem como quaisquer outros requisitos que sejam necessrios. Em geral, a
classificao dada informao uma maneira de determinar como esta informao
ser tratada e protegida.
A Lei 8.159, de 08 de janeiro de 1991, que dispe sobre a poltica nacional de
arquivos pblicos e privados e d outras providncias, estabelece no Captulo I, que
trata das disposies gerais, que dever do Poder Pblico a gesto documental e a
proteo especial a documentos e arquivos, como instrumento de apoio
administrao, cultura, ao desenvolvimento cientfico e como elemento de prova e
informao. A mesma Lei define que arquivo o conjunto de documentos
produzidos e recebidos por rgos pblicos, instituies de carter pblico e
entidades privadas, em decorrncia do exerccio de atividades especficas, perfil
que se enquadra o EQA. Considera tambm que a gesto de documentos o
conjunto de procedimentos e operaes tcnicas sua produo, tramitao, uso,
avaliao e arquivamento em fase corrente e intermediria, visando a sua
eliminao ou recolhimento para guarda permanente.
Respaldada nesta Lei a UFSC publicou em 1995 (em papel) e re-editou em
2009 (na Internet), a Tabela de Temporalidade (DMSG, 2009) que, entre outros
objetivos, classifica a informao, destaca a importncia da vida til dos documentos
nos meios acadmicos e administrativos, fixa prazos de permanncia em cada rgo
e define a destinao final de cada documento. Conforme o Dicionrio de
Terminologia Arquivstica, (2005, p. 159), o instrumento de destinao, aprovado
67
por autoridade competente, que determina prazos e condies de guarda tendo em

vista a transferncia, recolhimento, descarte ou eliminao de documento.
Conforme disposto no Artigo 5, do Decreto 4.553, de 27 de dezembro de
2002, da Casa Civil, que regula o Artigo 23, da Lei 8.159, os dados ou informaes
sigilosos sero classificados em ultra-secretos, secretos, confidenciais e reservados,
em razo do seu teor ou dos seus elementos intrnsecos. A redao completa da
classificao dos documentos a seguinte:
1 So passveis de classificao como ultra-secr etos, dentre outros, dados
ou informaes referentes soberania e integridade territorial nacionais, a planos
e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e
desenvolvimento cientfico e tecnolgico de interesse da defesa nacional e a
programas econmicos, cujo conhecimento no-autorizado possa acarretar dano
excepcionalmente grave segurana da sociedade e do Estado.
2 So passveis de classificao como secretos, dentre outros, dados ou
informaes referentes a sistemas, instalaes, programas, projetos, planos ou
operaes de interesse da defesa nacional, a assuntos diplomticos e de
inteligncia e a planos ou detalhes, programas ou instalaes estratgicos, cujo
conhecimento no-autorizado possa acarretar dano grave segurana da sociedade
e do Estado.
3 So passveis de classificao como confidenci ais dados ou informaes
que, no interesse do Poder Executivo e das partes, devam ser de conhecimento
restrito e cuja revelao no-autorizada possa frustrar seus objetivos ou acarretar
dano segurana da sociedade e do Estado.
4 So passveis de classificao como reservados dados ou informaes
cuja revelao no-autorizada possa comprometer planos, operaes ou objetivos
neles previstos ou referidos.
Conforme disposto no Artigo 7 do mesmo Decreto, foram definidos os prazos
de durao da classificao e que passam a vigorar a partir da data de produo do
dado ou informao e so os seguintes:
a) Ultra-secreto: mximo de trinta anos;
b) Secreto: mximo de vinte anos;
c) Confidencial: mximo de dez anos;
d) Reservado: mximo de cinco anos.
68
Analisando a Tabela de Temporalidade, verifica-se que, em funo dos

prazos definidos para os documentos, em especial os do EQA tm classificao
mxima de reservado e que, desde que no tenham a classificao renovada, so
encaminhados ao Arquivo Central aps, no mximo, cinco anos.
4.1.2 Anlise de Risco
Riscos existem em qualquer atividade e no so apenas relacionadas

tecnologia. Na maioria das atividades os riscos podem ser financeiros, contbeis,
legais, ambientais, humanos, entre outros.
Os riscos relacionados com a segurana da informao podem ser de
diversos tipos, tais como danos fsicos, erro humano, mau funcionamento de
equipamentos ou sistemas, ataques internos ou externos, uso inadequado dos
dados ou a perda destes.
A anlise de riscos uma das ferramentas da gesto de riscos e serve como
um mtodo de identificao destes riscos, alm de determinar salvaguardas
adequadas, objetivando a correta aplicao de recursos na reduo destes riscos.
Os requisitos de segurana da informao so identificados por meio
de uma anlise/avaliao sistemtica dos riscos de segurana da
informao. Os gastos com os controles precisam ser balanceados
de acordo com os danos causados aos negcios gerados pelas
potenciais falhas na segurana da informao.
Os resultados da anlise/avaliao de riscos ajudaro a direcionar e
a determinar as aes gerenciais apropriadas e as prioridades para o
gerenciamento dos riscos da segurana da informao, e para a
implementao dos controles selecionados para a proteo contra
estes riscos. (ABNT, 2005).
A anlise de risco desenvolvida para este plano estratgico est disponvel no

Apndice I.
69
4.1.3 Polticas de Segurana
O objetivo da poltica de segurana da informao, segundo (ABNT, 2005),

prover uma orientao e apoio da direo para a segurana da informao de
acordo com os requisitos do negcio e com as leis e regulamentaes relevantes.
A poltica de segurana a base para todas as questes

relacionadas proteo da informao, desempenhando um papel
importante em todas as organizaes.
Seu desenvolvimento o primeiro e o principal passo da estratgia
de segurana das organizaes. por meio dessa poltica que todos
os aspectos envolvidos na proteo dos recursos existentes so
definidos e, portanto, grande parte do trabalho dedicado sua
elaborao e ao seu planejamento (NAKAMURA, 2003).
Uma proposta de poltica de segurana, desenvolvida para este plano

estratgico, est disponvel no Apndice II.
4.1.4 Direito de Acesso
A poltica de direito de acesso ser abordado no item 4.3 Acessos Lgicos e

Fsicos.
4.2
ADMINISTRAO DE SEGURANA
4.2.1 Tipo de Estrutura
A UFSC uma estrutura acadmico-administrativa composta por diversas

estruturas menores da mesma natureza. Cada estrutura-filha tem um organograma
prprio, independente e sustentvel, mas ao mesmo tempo dependente da estrutura
principal.
Para (CARUSO, 1999) a estrutura de administrao da segurana pode ser
de dois tipos: centralizada e descentralizada. Cada uma tem sua caracterstica
peculiar:
70
Segurana centralizada: proporciona controle mais eficiente com

relao a mudanas na segurana e possivelmente nos esforos
para se impor a segurana. Mas o esforo de manuteno da
segurana neste nvel pode requerer o gerenciamento de uma
equipe considervel;
Segurana descentralizada: distribui o esforo de manuteno da
segurana, de maneira que a funo no se torne um nus para uma
nica rea. Alm disso, a manuteno poder ser subordinada a uma
rea que pode ter um conhecimento maior e mais adequado dos
recursos a ser protegidos. Entretanto, haver um esforo adicional na
rea central para controlar as atividades dos administradores
descentralizados (CARUSO, 1999).
No caso do EQA, para que a administrao de segurana das informaes ali

produzidas possa contar com uma estrutura que contenha a maioria das vantagens
dos dois tipos, ela deveria ser centralizada e descentralizada, ou seja, enquanto
pertencente ao organograma do EQA, seria centralizada, mas seria descentralizada
da administrao principal, localizada no NPD.
4.2.2 Localizao Dentro da Estrutura
A administrao da segurana uma rea que, por sua natureza e

importncia, dever se relacionar mais diretamente com a alta administrao
(CARUSO, 1999) da estrutura a qual estiver subordinada. Isto se torna necessrio
para que se torne menos suscetvel a presses e comportamentos resultantes de
lealdades para com a rea funcional qual pertena.
4.2.3 Perfil do Profissional
O perfil do profissional de segurana deve ser cuidadosamente definido, pois

o trabalho que exercer difcil e exigir que conhea todos os detalhes da
organizao. uma atividade que requer alta responsabilidade, segurana nas
aes e decises e determinao (CARUSO, 1999), alm de:
Conhecimento dos recursos dos ambientes de informaes;
Conhecimento dos requisitos de segurana adequados;
Alto grau de responsabilidade;
Boa experincia analtica e organizacional;
71
Sensibilidade para a poltica do ambiente de informaes;
Facilidade nos relacionamentos pessoais;
Estabilidade emocional.
4.2.4 Diretrizes de Segurana
O EQA j dispe de diretrizes de segurana, que so os procedimentos

bsicos que cada usurio da rede deve seguir.
Estas diretrizes so regras simples e de fcil entendimento, denominada
Poltica de Uso Aceitvel.
4.2.5 Ferramentas Administrativas e Tcnicas
A avaliao da ferramenta de segurana uma tarefa para a equipe do

projeto e no de uma rea especfica.
4.2.6 Equipe do Projeto
Equipe do projeto:
Comisso de estudo e elaborao do planejamento e implantao da

estrutura global da segurana;
Equipe que vai desenvolver o projeto da implantao da segurana;
Composta por elementos das diversas reas envolvidas ou relacionadas

diretamente com as atividades de processamento de informaes;
Quantidade de componentes restrita, mas compatvel com o tamanho da

organizao e, variedade, quantidade e porte dos equipamentos;
Perfil profissional variado;
Caso a equipe seja grande, as tarefas devem ser divididas em funo das
especializaes dos membros;
Dedicam parte de seu tempo para o projeto;
72
No
deve
se
envolver
com
as
tarefas
relacionadas
com
operacionalizao da segurana;
No deve ser confundida com a equipe de administrao de segurana.
A Equipe do projeto (Figura 4-1) dever ser composta com elementos das
seguintes reas:
Figura 4-1: Modelo de estrutura de equipe de projeto de segurana
Administrao de segurana:
o
Tem a funo de coordenar o projeto;
Pode ser assessorado por outros membros da equipe de segurana

para a execuo das tarefas operacionais exigidas pela implantao.
Software bsico e de apoio:

o
Responsvel tcnica pelo ferramental de informtica utilizado para

processar e armazenar informaes;
Caber a implantao da ferramenta de segurana e sua adaptao

ao ambiente operacional da organizao;
Faz uso de recursos que contornam a segurana ou propiciam o

desenvolvimento de brechas na segurana;
73
Define diretrizes bsicas de informtica e de processamento de

informaes;
Pode absorver a funo de administrar o banco de dados.
Administrao de dados:
o
Responsvel pela:
Administrao
dos
ativos
de
informao
residentes
nos
computadores;
Operacionalizao e uso dos softwares de banco de dados;
Integridade dos ativos de informao residentes em banco de

dados;
Norma de nomes de arquivos.
Produo:
o
Responsvel
pelo
processamento
de
todos
os
servios
de
informtica;
o
Est em contato mais direto com os usurios;
Ser afetada pelas medidas de segurana, caso tenha que

administrar os requisitos de segurana de acesso de usurios aos
computadores;
Custodiante dos ativos de informao, portanto, a mais interessada

na preservao da integridade dos ativos sobre os quais tem
responsabilidade.
Comunicao de dados e redes:

o
Responsvel pela manuteno e disponibilidade das linhas de

comunicao e ativos relacionados;
Possui requisitos de segurana prprios e especficos;
Deve
possuir
profundos
conhecimentos
dos
protocolos
de
comunicao para internet e intranet, alm das ferramentas

relacionadas.
Desenvolvimento de aplicaes:
o
Responsvel pelo desenvolvimento de aplicaes para as reas da

organizao que no tenham estrutura de possuir uma rea de
desenvolvimento autnoma;
74
Responsvel pelos recursos de desenvolvimento de aplicaes

(bibliotecas de linguagens, ferramentas e normatizao);
Responsvel por estabelecer um padro nico de segurana de

aplicativos.
Auditoria:
o
Controla o uso dos ativos da organizao em nome dos legtimos

proprietrios,
atravs
da
adeso
das
partes
normas
procedimentos estabelecidos;
o
Deve garantir que o processo de implantao de segurana e as

prprias diretrizes de segurana sigam as diretrizes globais da
organizao.
Usurios:
o
Pode ser um representante legtimo dos usurios ou uma comisso

composta por um membro de cada rea da organizao;
Participar nas decises de todas as medidas que impliquem na

participao de usurios;
Ser
consultado
nos
assuntos
que
envolvam
necessidades
especficas dos usurios.
Treinamento:
o
Responsvel pelas atividades de treinamento, relacionadas com os

requisitos de segurana, para novos funcionrios e a atualizao dos
j existentes;
A estrutura de treinamento dever permanecer aps o encerramento

do projeto.
Atividades de apoio:
o
Responsvel pelas atividades extras, que no estejam relacionadas

diretamente com informaes, tais como:
Administrao patrimonial;
Transportes;
Comunicaes;
Outras.
Deve fornecer consultoria, apoio tcnico e administrativo relacionados

com suas reas de conhecimento.
75
Consultoria externa:
o
Dos fornecedores dos equipamentos;
Dos fornecedores de ferramentas de segurana;
De consultores de segurana.
Equipe de Administrao de segurana:
Devem ser alocados nas tarefas operacionais decorrentes da prpria

administrao de segurana;
Responsvel pela operacionalizao das medidas propostas pela equipe

do projeto.
4.3
ACESSOS LGICOS E FSICOS
Foram encontradas vulnerabilidades nos acessos lgicos e fsicos ao EQA,

conforme o item 3 ANLISE. A seguir abordaremos os principais tpicos que sero
tratados.
4.3.1 Nvel de Permisso e Classificao de Usurios
Na Tabela 4-1 so apresentados os nveis de permisso e classificao dos

usurios.
Tabela 4-1: Nveis de permisso e classificao dos usurios.
Tipo de usurio
Descrio
A quem se aplica
Administrador
domnio
Permisso de acesso total aos

servidores e estaes para
administrao de recursos e
polticas do domnio
Membro do corpo
tcnico/administrativo,
responsvel pela
administrao da rede
Administrador
estao de
trabalho
Permisso de acesso total s

estaes de trabalho para
administrao de recursos e
polticas
Membro do corpo
tcnico/administrativo
responsvel pela
administrao das
estaes de trabalho
Administrador
Local Servidor
Permisso de acesso total somente

ao servidor sem propriedades de
Membro do corpo
76
Tipo de usurio
Descrio
A quem se aplica
administrao de domnio
responsvel pela
administrao do servidor
Usurio de
domnio
Permisso de acesso s estaes

de trabalho conforme pr-definido
pelas polticas elaboradas no
servidor de domnio e pelas
necessidades de acesso aos
aplicativos locais
Corpo discente, corpo

docente e corpo
Usurio estao
de trabalho
Direito de acesso estao de

trabalho onde o usurio estiver sido
criado, com condies locais de
acesso
Corpo discente, corpo

docente e corpo
4.3.2 Sistemas Operacionais
Na Tabela 4-2 so apresentados os sistemas operacionais utilizados.

Tabela 4-2: Sistemas operacionais utilizados.
Sistema
Permisses Aplicveis
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Ubuntu Linux
Usurios do domnio
Microsoft Windows 2003 Server
Administrador de domnio
Administrador local servidor
Open SUSE Linux
Administrador de domnio
Administrador local servidor
4.3.3 Aplicativos
Na Tabela 4-3 so apresentados os aplicativos utilizados.
77
Tabela 4-3: Aplicativos
Sistema
Microsoft Office
Permisses Aplicveis
Usurios do domnio
BrOffice.org
Usurios do domnio
Matlab
Usurios do domnio
Adobe Acrobat Writer 5.0
Usurios do domnio
Adobe Acrobat Reader
Usurios do domnio
Matemtica
Usurios do domnio
Estatstica
Usurios do domnio
CFX
Usurios do domnio
Autocad
Usurios do domnio
Pr-engineer
Usurios do domnio
F-secure
Usurios do domnio
78
4.3.4 Criptografia de Comunicao
recomendada a utilizao de criptografia nos notebooks utilizados nas

pesquisas, buscando aumentar a confidencialidade dos documentos;
recomendada a criptografia na rede por onde trafegam os dados de

registro de pesquisas no software que gerencia os projetos de pesquisa.
4.3.5 Segurana das Estaes e Notebooks
Antivrus: Utilizar antivrus corporativo e de administrao centralizada;
Criptografia: recomendada a utilizao de criptografia nas estaes

utilizadas nas pesquisas, buscando aumentar a confidencialidade dos
documentos;
Atualizaes do sistema operacional: Administrao dos sistemas

operacionais deve ser administrada centralizadamente e de forma
automatizada, de modo a proporcionar um nvel mximo de atualizao;
Bloqueio da estao em inatividade: A administrao da rede deve

promover o bloqueio da estao de trabalho aps um curto espao de
tempo de inatividade;
Atualizaes de aplicativos: Os aplicativos que sero utilizados nas

estaes devem ser previamente homologados e instalados somente pela
administrao da rede. Sendo permitida a utilizao somente de software
licenciado ou livre;
Controle de patrimnio: Um inventrio de hardware e software deve ser

implementado para auxiliar no controle do hardware e do software das
estaes.
4.3.6 Segurana da Rede
A rede atual j monitorada atravs de sensores que detectam anomalias

na rede, atravs do NPD da UFSC;
Apesar do trabalho no focar especificamente a segurana da rede,
79
recomenda-se que seja implementada NAT, nas redes do EQA, visando

retirada de endereos IP pblicos nas estaes de trabalho. A Figura 4-2
modela a topologia da rede conforme proposta;
Servidor Radius: Implementao de um servidor Radius para limitar e

regular as conexes rede do departamento;
Servidor de domnio: Implementao de servidor de domnio no

departamento, buscando a autenticao dos usurios na rede e
conseqente diminuio do no repdio;
Servidor de Arquivos: Implementao de um servidor de arquivos, com

permisses pr-definidas pelo servidor de autenticao;
Servidor de Backup: Implementao de servidor de backup para o

departamento
atravs
da
utilizao
de
mdias
removveis
e/ou
espelhamento de arquivos e aplicao em outra unidade da UFSC;
Revisar o cabeamento de rede no intuito de estrutur-lo e document-lo,

diminuindo assim os pontos de rede em exposio;
Nas redes do EQA deve-se inibir na camada de rede a utilizao dos

compartilhamentos de pastas no autorizados entre estaes de trabalho,
notebooks e similares.
80
Figura 4-2: Topologia da rede utilizando NAT
81
4.3.7 Procedimento Operacional de Segurana Fsica
Obrigatoriedade para o uso do crach de identificao;
Implementar nveis de acesso fsico s dependncias do departamento;
Eliminar edificaes em madeira;
Estrutura da sala cofre conforme norma, incluindo ar-condicionado

redundante, sensor de fumaa, sensor de temperatura, tranca eletrnica
com log de acesso, fornecimento de energia eltrica compatvel com o
ambiente;
Implementar controle de acesso fsico sala do backbone e servidores do

EQA, para funcionrios e terceirizados, atravs de controle eletrnico de
senhas;
Utilizar termo de responsabilidade e confidencialidade junto aos

funcionrios e terceirizados.
4.3.8 Segurana dos Meios de Armazenamento
Criptografar todas as mdias que armazenarem pesquisas classificadas

como de suma importncia;
Elaborar poltica de descarte de mdia para minimizar o risco de

vazamento de informaes;
Os dispositivos com mdias de armazenamento de relativa importncia

devem estar alocados em reas de acesso restrito e controles adicionais,
como a sala cofre.
4.4
ANLISE DA VIABILIDADE ECONMICO / FINANCEIRA
Baseado no plano estratgico proposto, foi desenvolvido uma tabela de

oramento dos custos (Tabela 4-4) na qual consta a estimativa de valores para
implantao do projeto, com as respectivas rubricas.
Assim sendo, foram apresentadas duas propostas:
82
a) Oramento de Requisito Tcnico ideal (Oramento Ideal): Requisitos

tcnicos para que o EQA tenha um padro ideal de segurana da
informao e da infraestrutura de TI;
b) Oramento de Requisito Tcnico Mnimo (Oramento Mnimo):
Requisitos tcnicos para que o projeto tenha um padro mnimo aceitvel
de segurana, enquanto o oramento para a situao ideal no liberado.
Tabela 4-4: Oramento para implantao do projeto
Rubrica
Hardware
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
Servios
3339.36.06
33390.39.95
3339.36.06
33390.39.08
Software
33390.30.47
33390.39.01
33390.39.01
33390.39.01
Total
Descrio
Oramento Oramento
Ideal (R$) Mnimo (R$)
Firewall
Access point
Switch
No-break
Gerador de energia
Material para cabeamento estruturado
Patch panel Cat 5e
Servidor
15.000,00
3.000,00
15.000,00
8.000,00
50.000,00
5.000,00
30.000,00
15.000,00
600,00
Mo-de-obra cabeamento estruturado

Manuteno de equipamentos
Consultoria em segurana
Consultoria implementao S.O.
Treinamentos
20.000,00
15.000,00
35.000,00
20.000,00
-
15.000,00
10.000,00
40.000,00
266.000,00
10.000,00
72.600,00
Software - S.O.
Software - Antivrus
Software - Criptografia
Software - Pacote Office
2.000,00
30.000,00
Para auxiliar a anlise da viabilidade econmica e financeira do projeto foi

utilizada a Tabela 4-5 demonstrando os seguintes valores:
83
Tabela 4-5: Anlise da viabilidade econmica / financeira
Oramento 2009
Oramento do Projeto
Ideal
Mnimo
266.000,00
72.600,00
UFSC
1.220.231.946,00
0,02%
0,01%
UFSC (TI)
730.000,00
36,44%
9,95%
EQA
100.000,00
266,00%
72,60%
Constatou-se que:
a) O oramento destinado ao EQA, para a rea de TI, baixo diante das
necessidades do projeto;
b) O valor do Oramento Mnimo representa 72,6% do oramento do
EQA, 9,95% do oramento destinado s Aes de Informtica da
UFSC e apenas 0,01% do oramento total da UFSC, todos para 2009,
e poderia ser implementado em at dois anos;
c) O valor do Oramento Ideal representa 266% do oramento do EQA
para 2009, o que o torna invivel para este ano, mas por representar,
36,44% do oramento das Aes de Informtica da UFSC, e apenas
0,02% do oramento total, caberia o estudo de suplementao da
verba oramentria, em TI, para o EQA;
Quanto ao ROI, por se tratar de uma instituio de ensino superior federal,
que no visa lucro e sim o desenvolvimento acadmico e a produo de patentes, o
que deve ser enfatizado a questo da segurana dos projetos e da imagem da
instituio, caso ocorra perda ou vazamento de dados sigilosos ou sensveis.
Analisando por este ponto de vista o valor do Oramento Ideal ser baixo, diante das
perdas potenciais.
5.1
PLANOS DE SEGURANA
MONITORAMENTO E CONTROLE
O item 5 do Apndice I apresenta os procedimentos de monitoramento e

controle para cada evento de risco previsto no EQA e que podem comprometer a
segurana das informaes existentes no Departamento.
84
5.2
RESPOSTA EMERGENCIAL
O item 5 do Apndice I apresenta os procedimentos que sero aplicados, no

caso de uma resposta emergencial, a um dos eventos de risco previstos.
5.3
PLANO DE CONTINGNCIA
O plano de contingncia para o EQA est descrito em detalhes no Apndice

III.
6.1
CONSIDERAES FINAIS
CONCLUSO
Antes de iniciar este trabalho, sabia-se que seriam muitas as dificuldades e

limitaes na obteno de informaes para o desenvolvimento deste plano
estratgico, as quais foram confirmadas. Para transp-las foi necessrio planejar e
executar cuidadosamente todas as etapas que seriam executadas a seguir, para que
o objetivo geral e especfico pudesse ser alcanado.
O primeiro passo foi a anlise geral das atividades do EQA para determinar
qual seria o foco e o escopo deste trabalho. Em seguida foram realizadas vistorias
ao ambiente do Departamento para captar todas as nuances das vulnerabilidades
existentes. Os principais problemas foram registrados e fotografados para servirem
de material de anlise do ambiente. Nesta etapa concluiu-se que os principais ativos
de informao que deveriam ter um plano estratgico de segurana da informao
seriam os trabalhos acadmicos e pesquisas, cujos resultados poderiam se
transformar em patentes desenvolvidas pela UFSC e que recebem patrocnio
externo.
O segundo passo foi o levantamento documental a partir de diversas fontes,
tais como normas, legislao (federal, estadual e municipal), documentos internos e
entrevistas com servidores da instituio. No caso destes ltimos a obteno das
85
informaes que seriam relevantes ao trabalho teve de ser cuidadosa, para que
fosse extrado apenas o conhecimento tcito que respondesse aos questionamentos
pertinentes ao planejamento, sem expor dados confidenciais que comprometessem
ainda mais a segurana do Departamento ou da Universidade.
De posse deste material restou apenas montar o quebra-cabea que se
formou o que exigiu algumas semanas de anlises e discusses.
O resultado final, sintetizado neste trabalho, confirmou a necessidade do EQA
em implantar um plano estratgico de segurana da informao. Ficou evidente que
o principal obstculo a cultura interna, resistente s regras ou limitaes,
caracterstica de um ambiente acadmico e, principalmente, estatutrio. Apesar de
ser um fator de uma soluo complexa possvel de ser solucionado, atravs da
mudana da cultura e do comportamento dos envolvidos.
6.2
LIMITAES
Alm do fator humano o EQA tambm tem carncia em solues de

tecnologia da informao, desde a aquisio de hardware e software, passando pela
definio e implantao de poltica de segurana, direitos de acesso e planos de
continuidade do negcio e de contingncia. So tarefas complexas que requerero
dedicao das equipes envolvidas no processo.
Para completar o quadro existe a limitao oramentria, que por ser
insuficiente para as necessidades apresentadas, impede a implementao do plano,
na sua totalidade, em curto prazo. A soluo neste caso, que passa pela reviso e
ampliao do oramento do EQA, exigir diversas etapas burocrticas atravs dos
diversos rgos reguladores. Entretanto, como forma alternativa, existe a
possibilidade de implementao parcial do plano, enquanto o restante do oramento
pleiteado.
86
6.3
TRABALHOS FUTUROS
Em relao a trabalhos futuros este Plano de Segurana da Informao,

oferece algumas opes no que diz respeito a continuidade do desenvolvimento do
plano estratgico de segurana da informao do EQA. Abaixo so citadas algumas:
Infraestrutura
de
rede:
Para
que
sejam
eliminadas
as
vulnerabilidades de disponibilidade da rede se faz necessrio um plano

de reestruturao da rede fsica, transformando a rede existente numa
estrutura que utilize cabeamento estruturado na plenitude da norma
EIA/TIA-568-B.1-2001;
Segurana de rede: Neste trabalho foi constatada a utilizao macia

de endereos pblicos na maioria dos hosts, tanto do EQA quanto da
UFSC. Esta caracterstica expe toda a rede a ataques externos e se
contrape s tcnicas existentes de ocultao e proteo de hosts
sensveis. Neste caso cabe um estudo para implantao de NAT e
DMZ.
87
REFERNCIAS
ABNT. (Brasil). Tecnologia da Informao Cdigo de prtica para a gesto da
segurana da informao NBR ISO/IEC 17799:2005. Rio de Janeiro, 2005. 52 p.
CAPES. Tabela Grande rea da Engenharia Qumica. Santa Catarina, Nov 2009.
Disponvel
em:
http://conteudoweb.capes.gov.br/conteudoweb/ProjetoRelacaoCursosServlet?acao=
pesquisarGrandeArea. Acesso em 01 nov. 2009.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de

informaes. 2 ed. rev. e ampl. So Paulo: Editora SENAC So Paulo, 1999. 367
p.
CERT.br. Cartilha de Segurana para Internet. Verso 3.1/CERT.br. So Paulo:

Comit Gestor da Internet no Brasil, 2006. ISBN: 978-85-60062-06-5. ISBN: 8560062-06-8.
COPERVE. Relatrio oficial Vestibular UFSC/2009. Santa Catarina: COPERVE,

2009. Disponvel em:
http://www.vestibular2009.ufsc.br/resultado/resultadoOficialV2009.pdf. Acesso em:
01 nov. 2009. 340 p.
CPGEA. Linhas de pesquisa. Santa Catarina, nov. 2009. Disponvel em:

http://www.enq.ufsc.br/pgrad/cpgea/padrao.php?link=linhas_pesquisas. Acesso em:
02 nov. 2009.
CPGENQ. Linhas de pesquisa. Santa Catarina, nov. 2009. Disponvel em:

http://www.cpgenq.ufsc.br/port/linhas_pesquisa.html. Acesso em: 02 nov. 2009.
DIT. Departamento de Inovao Tecnolgica. Santa Catarina, out. 2009.

Disponvel em: http://www.dit.ufsc.br. Acesso em: 01 out. 2009.
DMSG. Tabela de temporalidade. Santa Catarina, nov. 2009. Disponvel em:

http://notes.ufsc.br/aplic/temporalidade.nsf. Acesso em: 16 nov. 2009.
DSIC. Departamento de Segurana da Informao e Comunicaes. Distrito

Federal, out. 2009. Disponvel em: http://dsic.planalto.gov.br. Acesso em 01 out.
2009.
88
EQA. Departamento de Engenharia Qumica e Engenharia de Alimentos. Santa

Catarina, out. 2009. Disponvel em: http://www.enq.ufsc.br. Acesso em: 01 out. 2009.
FERREIRA, Fernando Nicolau Freitas. Segurana da Informao. Rio de Janeiro:

Editora Cincia Moderna Ltda., 2003. 162 p. ISBN: 85-7393-290-2.
GLASER, Barney G.; STRAUSS, Anselm L. The Discovery of Grounded Theory:

Strategies for Qualitative Research. Chicago: Aldine de Gruyter, 1967.
GONALVES, Luis Rodrigo de Oliveira. Pequeno histrico sobre o surgimento

das
Normas
de
Segurana.
Disponvel
em:
http://www.lockabit.coppe.ufrj.br/print.php?id=69. Acesso em: 08 mar. 2006.
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Fundamentos de

metodologia cientfica. 6 ed. - 7 reimpr. So Paulo: Atlas. 2009. 315 p.
MERRIAM, Sharan B. Qualitative research and case study applications in

education. San Francisco: Jossey-Bass, 1998.
MICROSOFT BRASIL. Academia Latino-Americana de Segurana da Informao.

Introduo ABNT NBR ISO/IEC 17799:2005 Mdulo 1.
MORAES, L. V. S. A dinmica da aprendizagem gerencial: o caso do Hospital

Moinhos de Vento. Dissertao de Mestrado, Engenharia de Produo, Centro
tecnolgico, Universidade Federal de Santa Catarina, 2000.
NAKAMURA, Emlio Tissato; GEUS, Paulo Lcio de. Segurana de redes em

ambientes cooperativos. 2 ed. So Paulo: Futura, 2003. 474 p.
PMF. Perfil de Florianpolis. Santa Catarina, nov. 2009. Disponvel em:

http://www.pmf.sc.gov.br/portal/pmf/cidade/perfildeflorianopolis/demografia.php.
Acesso em: 02 nov. 2009.
SILVA FILHO, Antonio Mendes da. A Era da Informao. Revista Espao

Acadmico, Maring, n. 2, jul., 2001. ISSN: 1519.6186. Disponvel em:
http://www.espacoacademico.com.br/002/02col_mendes.htm. Acesso em: 15 fev.
2006.
89
STRAUSS, Anselm L.; CORBIN, Juliet M. Basics of qualitative research:

Grounded Theory procedures and techniques. CA: SAGE Publications, 1990. 270 p.
UFSC(a). Universidade Federal de Santa Catarina. Santa Catarina, out. 2009.

Disponvel em: http://www.ufsc.br. Acesso em 01 out. 2009.
_________(b), Reitoria da. Proposta Oramentria 2009. Santa Catarina, nov.

2009. Disponvel em: http://www.reitoria.ufsc.br/dgo/orcamento%20atual.PDF.
Acesso em: 01 nov. 2009.
WIKIPEDIA(a). Demografia. Disponvel em: http://pt.wikipedia.org/wiki/Demografia.

Acesso em 02 nov. 2009.
_________(b). Lista de instituies de ensino superior no Brasil. Disponvel em:

http://pt.wikipedia.org/wiki/Lista_de_universidades_brasileiras. Acesso em: 02 nov.
2009.
_________(c). Fatores crticos de sucesso. Disponvel em:

http://pt.wikipedia.org/wiki/Fatores_cr%C3%ADticos_de_sucesso. Acesso em: 02
nov. 2009.
YIN, Robert K. Case Study Research: Design and Methods. 2 Ed. Thousand Oaks,
CA: SAGE Publications, 1994.
90
GLOSSRIO
Access Point - Referido com o acrnimo AP (Ponto de Acesso) um dispositivo
em uma rede sem fio que realiza a interconexo entre todos os dispositivos mveis.
Em geral se conecta a uma rede cabeada servindo de ponto de acesso para uma
outra rede, como por exemplo a Internet.
Ativo - Qualquer coisa que tenha valor para a organizao.
AUP - Acceptable Use Policy (Poltica de Uso Aceitvel).
BGP - Acrnimo de Border Gateway Protocol um protocolo de roteamento

dinmico, utilizado para comunicao entre sistemas autnomos (ASs). A funo
primria de um sistema BGP trocar informao de acesso rede, inclusive
informao sobre a lista das trajetrias dos ASs, com outros sistemas BGP. Esta
informao pode ser usada para construir um grfico da conectividade dos ASs a
partir do qual loops de roteamento podem ser detectados e reforadas as polticas
de deciso com outros ASs.
Cluster - Um cluster, ou aglomerado de computadores, formado por um conjunto

de computadores, que utiliza um tipo especial de sistema operacional classificado
como sistema distribudo. Muitas vezes construdo a partir de computadores
convencionais (personal computers), os quais so ligados em rede e comunicam-se
atravs do sistema, trabalhando como se fossem uma nica mquina de grande
porte. H diversos tipos de cluster. Um tipo famoso o cluster da classe Beowulf,
constitudo por diversos ns escravos gerenciados por um s computador.
DMZ Abreviao de DeMilitarized Zone (zona desmilitarizada). a rea de rede

que permanece entre a rede interna de uma organizao e uma rede externa, em
geral a Internet. Comumente uma DMZ contm equipamentos apropriados para o
acesso Internet, como servidores para web (http), servidores de transferncia de
arquivos (FTP), servidores para correio eletrnico (SMTP) e servidores de
resoluo de nomes (DNS).
91
DNS - Acrnimo de Domain Name System (Sistema de Nomes de Domnios) um

sistema de gerenciamento de nomes hierrquico e distribudo operando segundo
duas definies: examinar e atualizar seu banco de dados e resolver nomes de
domnios em endereos de rede (IPs).
Ethernet - Tecnologia de interconexo para redes locais, baseada no envio de

pacotes, que define cabeamento e sinais eltricos para a camada fsica, formato de
pacotes e protocolos para a camada de controle de acesso ao meio (Media Access
Control MAC) do modelo OSI.
FTP - Acrnimo de File Transfer Protocol (Protocolo de Transferncia de Arquivos)

pode referir-se tanto ao protocolo quanto ao programa que implementa este
protocolo e uma forma bastante rpida e verstil de transferir arquivos, sendo
uma das mais usadas na Internet.
Hardware - Parte fsica do computador que se pode tocar.
Help Desk - Termo em ingls que designa o servio de apoio a usurios para
suporte e resoluo de problemas tcnicos em informtica, telefonia e tecnologias
de informao. Este apoio pode ser tanto dentro de uma empresa (profissionais que
cuidam da manuteno de equipamentos e instalaes dentro da empresa), quanto
externamente (prestao de servios aos usurios).
HTTP - O Hyper Text Transfer Protocol (Protocolo de Transferncia de Hipertexto)

foi criado para que os navegadores e os servidores web pudessem se comunicar
de uma forma padronizada.
Hub-and-spoke - Tipo de topologia na qual o host wireless do USB o hub no

centro, e cada dispositivo a extremidade de um spoke. Cada spoke uma
conexo ponto-a ponto entre o host e o dispositivo. Desse modo os hosts wireless
USB podem suportar at 127 dispositivos.
IEEE 802 - uma norma que tem como objetivo definir uma padronizao para
92
redes locais e metropolitanas das camadas 1 e 2 (fsica e enlace) do modelo OSI

para padro de redes. As normas cuidam de diversos tipos de redes, tais como
Ethernet, rede sem fio, fibra tica, dentre outras.
IGRP - Acrnimo de Interior Gateway Routing Protocol (Protocolos Interiores de

Roteamento) um protocolo que foi desenvolvido na dcada de 80 pela Cisco
Systems com o objetivo de fornecer um protocolo robusto para distribuir dentro de
um Sistema autnomo (COMO).
IMAP - Acrnimo de Internet Message Access Protocol um protocolo de

gerenciamento de correio eletrnico superior em recursos ao POP3. A ltima
verso o IMAP4. O mais interessante que as mensagens ficam armazenadas
no servidor e o internauta pode ter acesso a suas pastas e mensagens em qualquer
computador, tanto por webmail como por cliente de correio eletrnico.
Internet - A Internet a conexo de vrias redes e significa a rede das redes.
Log - Em computao o termo utilizado para descrever o processo de registro de

eventos relevantes num sistema computacional. Esse registro pode ser utilizado
para restabelecer o estado original de um sistema ou para que um administrador
conhea o seu comportamento no passado. Um arquivo de log pode ser utilizado
para auditoria e diagnstico de problemas em sistemas computacionais.
Login - o procedimento de autenticao na rede, ou em qualquer outro servio,

informando uma identificao de usurio (nome, matrcula, conta de acesso) e
senha.
Mdia - Mdia, ou media, no Brasil e em Portugal. Podemos distinguir os tipos de

media relativamente sua origem. Os tipos de media capturados (vdeo, udio,
fotografia) e os tipos de media sintetizados (texto, grfico, animao). Uma mdia
de armazenamento o suporte no qual pode se registrar a informao digital.
Exemplos: fitas magnticas, disquetes, discos pticos.
93
NAT Acrnimo de Network Address Translation (Traduo de Endereo de Rede)

tambm conhecido como masquerading uma tcnica que consiste em reescrever
os endereos IP de origem de um pacote, que passam por um roteador ou firewall,
de maneira que um computador de uma rede interna tenha acesso ao exterior (rede
pblica), sem divulgar o endereo IP real.
Nobreak, no-break - Veja UPS.
Octeto - O byte de 8 bits , por vezes, tambm chamado de octeto, nomeadamente

no contexto de redes de computadores e telecomunicaes.
OSPF - Acrnimo de Open Shortest Path First um protocolo de roteamento para

redes que operam com protocolo IP. Baseado no algoritmo Shortest Path First
(menor rota primeiro), o OSPF foi criado para substituir o protocolo RIP empregado
no final da dcada de 1980 na ento Arpanet (atual Internet) e que apresentava
diversos problemas e limitaes para operar satisfatoriamente em uma rede de
grande porte.
PABX - Private Automatic Branch Exchange (Troca automtica de ramais

privados).
POP, POP3 - Acrnimo de Post Office Protocol um protocolo utilizado no acesso

remoto a uma caixa de correio eletrnico e permite que todas as mensagens
possam ser transferidas para um computador local.
Protocolo - Conjunto de instrues que padronizam como duas ou mais

ferramentas se comunicam. Conjunto de regras padronizado que especifica o
formato, a sincronizao, a sequencia e a verificao de erros em comunicao de
dados.
RIP - Acrnimo de Routing Information Protocol um protocolo de roteamento e um

dos mais facilmente confundidos porque uma variedade RIP -como dos protocolos
do roteamento proliferados, alguns se usaram do mesmo nome.
94
ROI - Return of investiment (Retorno sobre Investimento).
Roteador - Estrangeirismo do ingls router (encaminhador) um equipamento

usado para fazer a comutao de protocolos, a comunicao entre diferentes redes
de computadores, provendo a comunicao entre computadores distantes entre si.
Roteamento - No contexto das redes de computadores o encaminhamento (ou

roteamento) de pacotes ( em ingls: routing) designa o processo de reencaminhamento de pacotes, baseado no endereo IP e mscara de rede dos
mesmos.
Servidor - Numa rede o computador que hospeda os arquivos ou recursos que

sero acessados pelos demais micros da rede.
Sistema operacional - um programa ou um conjunto de programas cuja funo

servir de interface entre um computador e o usurio. A sigla usual para designar
este tipo de programa SO (em portugus) ou OS (do ingls Operating System).
SMTP - Acrnimo de Simple Mail Transfer Protocol o protocolo padro para envio
de e-mails atravs da Internet.
SNMP - Acrnimo de Simple Network Management Protocol (Protocolo Simples de

Gerncia de Rede) um protocolo de gerncia tpica de redes TCP/IP, da camada
de aplicao, que facilita o intercmbio de informao entre os dispositivos de rede,
como placas e comutadores (switches). O SNMP possibilita aos administradores de
rede gerenciar o desempenho da rede, encontrar e resolver seus eventuais
problemas, e fornecer informaes para o planejamento de sua expanso, dentre
outras.
Software - a parte lgica do computador, aquela que no se pode ver nem tocar,
mas opera constantemente.
Spanning Tree - Referido com o acrnimo STP um protocolo para equipamento
95
de rede que permite resolver problemas de loop em redes comutadas cuja

topologia introduza anis nas ligaes. O algoritmo de Spanning Tree determina
qual o caminho mais eficiente entre cada segmento separado por bridges ou
switches. Caso ocorra um problema nesse caminho, o algoritmo recalcular, entre
os existentes, o novo caminho mais eficiente, habilitando-o automaticamente.
Switch - Dispositivo utilizado em redes de computadores para re-encaminhar

frames entre diversos ns. Segmenta a rede internamente, sendo que cada porta
corresponde um domnio de coliso diferente, o que significa que no haver
coliso entre pacotes de segmentos diferentes. Existe modelo gerencivel e no
gerencivel.
TCP/IP - Acrnimo de Transmission Control Protocol / Internet Protocol (Protocolo

de Controle de Transmisso / Protocolo de Internet), a famlia de protocolos para
a comunicao de dados inter-redes. Hoje um padro de fato para inter-redes
abertas e seu uso amplamente difundido no mundo.
Topologia de rede - Descreve como o layout de uma rede de computadores e

tambm como os dispositivos esto conectados a ela.
Trunking - Para manter a conectividade das Vlans em toda a estrutura do switch,

as Vlans devem ser configuradas em cada switch. O protocolo VTP (Vlan Trunking
Protocol) da Cisco garante um mtodo mais fcil para a manuteno de uma
configurao de Vlan consistente em toda a rede comutada.
UPS - Acrnimo de Uninterruptible Power Supply (Fonte Ininterrupta de Energia)

o que costumamos chamar de nobreak ou no-break. Existem dois tipos de UPS: os
que funcionam no modo on-line e os que funcionam no modo off-line. No modo online a bateria constantemente carregada e o sistema recebe energia a partir da
bateria. Neste caso temos a garantia de um fornecimento 100% estvel,
dispensando um estabilizador externo. No modo off-line o sistema recebe energia
da tomada, passando para a bateria apenas em caso de queda. No to seguro
quanto o primeiro, mas so mais comuns por serem um pouco mais baratos.
96
Vrus - Um tipo de software malicioso que tem a habilidade de auto-replicar e

infectar partes do sistema operacional ou dos programas de aplicao, com o
intuito de causar a perda ou dano dos dados.
VLAN - Acrnimo de Virtual LAN (Rede Local Virtual) uma rede logicamente
independente. Vrias VLANs podem co-existir em um mesmo comutador (switch),
desde que esta funcionalidade exista.
VoIP - Acrnimo de Voice Over IP (Voz Sobre IP) a tecnologia que torna possvel
estabelecer conversaes telefnicas em uma rede IP (incluindo a Internet),
tornando a transmisso de voz mais um servio suportado pela rede de dados.
VPN - Acrnimo de Virtual Private Network (Rede Particular Virtual) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes
pblica (como por exemplo, a Internet). O trfego de dados transportado pela
rede pblica utilizando protocolos padro, no necessariamente seguro. VPNs
seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a
privacidade
das
comunicaes
requeridas.
Quando
adequadamente
implementados, estes protocolos podem assegurar comunicaes seguras atravs

de redes inseguras.
Web - considerada a rede mundial de computadores que trocam informaes

atravs do protocolo HTTP. A Web o servio mais usado na Internet e,
dependendo do contexto, pode significar o mesmo que Internet.
WWW - Acrnimo de World Wide Web (Rede de alcance mundial), tambm

conhecida como Web, um sistema de documentos em hipermdia que so
interligados e executados na Internet.
97
APNDICES
98
Apndice I - Plano de Gerenciamento dos Riscos

Nome do Projeto:
Plano de Segurana do EQA - UFSC
Patrocinadores:
Sr. lvaro Toubes Prata (Reitor da UFSC)
Gerente de Projeto:
Sandro dos Santos
Elaborado por:
Sandro dos Santos Souza
Data Verso:
18/06/2009 - V1.0
Data Elaborao:
05/06/2009
1.
Processo de Gerenciamento de Riscos
2.
Sero considerados os riscos inicialmente identificados pela equipe de

projetos
Novos riscos encontrados no decorrer do projeto sero analisados pela
equipe e considerados
A pesquisa de campo ser utilizada como base para identificao dos riscos
A base da pesquisa e relao dos riscos baseada nas informaes de um
membro do grupo.
Identificao dos Riscos
A tabela abaixo apresenta os riscos apurados pela equipe no desenvolvimento do

projeto.
Riscos considerados
Riscos internos
Ataques, acesso a contedo indevido, concentrao de

informao, apropriao indevida da informao (espionagem
industrial)
Riscos fsicos
Ataques, estrutura de cabeamento, uso indevido de recursos
Riscos externos
Falta de energia, desastre natural, mudana da poltica interna

(mudana da chefia)
Riscos tcnicos
Uso inadequado dos recursos computacionais, perda de

informaes (falta de backup)
Riscos legais
Vazamento de informao, furto de informao, utilizao de

software no homologado, contratos (SLA), pirataria, violao
de direitos autorais
Riscos no tcnicos Recursos humanos sem treinamento, cultura
99
3.
Qualificao dos Riscos

a.
Avaliao de impacto
Grau de impacto
b.
Muito grande
Grande
Moderado
Pequeno
Muito pequeno
Descritivo dos impactos
c.
Peso
Muito Grande: O impacto extremamente elevado, sendo necessria

interferncia direta, imediata e precisa da equipe do projeto, para que os
resultados no sejam seriamente comprometidos.
Grande: Impacto de maior relevncia, necessitando de um
gerenciamento mais preciso, podendo prejudicar os resultados.
Moderado: Impacto considerado relevante, necessitando uma maior
ateno em sua anlise e resoluo, oferecendo risco moderado aos
resultados.
Pequeno: O impacto pequeno, em termos de custos ou prazos, fcil
soluo.
Muito Pequeno: Impacto quase que irrelevante, de fcil soluo
Avaliao de probabilidade
Referencial
Probabilidade
Grande chance de ocorrer
0.95
Provavelmente ocorrer
0.75
Igual chance de ocorrer ou no
0.5
Baixa chance de ocorrer
0.25
Pouca chance de ocorrer
0.1
100
d.
e.
Descritivo das probabilidades
Grande chance de ocorrer: a probabilidade de ocorrncia iminente

(maior que 80%)
Provavelmente ocorrer: probabilidade importante de ocorrer (de 60 a

80%)
Igual chance de ocorrer ou no: probabilidade razovel de ocorrer (de

20 a 40%)
Pouca chance de ocorrer: probabilidade quase que imperceptvel

(menor que 20%)
Priorizao de Riscos
Baixo Risco
de 0.1 a 0.75
Mdio Risco de 0.95 a 1.9

Alto Risco
f.
de 2.0 a 4.75
Matriz de Probabilidade X Impacto

1.0
2.0
3.0
4.0
5.0
0.95
0.95
1.9
2.85
3.8
4.75
0.75
0.75
1.5
2.25
3.75
0.5
0.5
1.5
2.5
0.25
0.25
0.5
0.75
1.25
0.1
0.1
0.2
0.3
0.4
0.5
101
g.
Relacionamentos dos Eventos X Probabilidade X

Impacto
Seq. Evento
Probabilidade
15 Perda de informao
0,95
10 Interrupo do acesso rede
0,75
Ataque de negao de servio de grande
1
impacto
0,50
31 Vandalismo contra equipamento do EQA
0,25
Impossibilidade de acesso ao
7
conhecimento tcito
0,10
12 Falta de energia (blackout)
0,10
13 Desastres naturais
0,10
24 Sinistro ocasionado pelo fogo
0,10
Sem registro, documentao dos
25 processos e fluxo da informao, rede,
documentao da estrutura
0,95
17 Furto de informao
0,75
22 Ambiente e Cultura da organizao
0,75
30 Indisponibilidade de suporte tcnico
0,75
Apropriao indevida da informao
8
(espionagem industrial)
0,50
Senha fraca utilizada em equipamento
26
servidor
0,50
Instalao no autorizada de ativos de
29 rede (switch, hub e ponto de acesso
wireless)
0,50
Ataque de negao de servio de mdio
2
impacto
0,25
Vazamento de informao (acesso fsico
16
ou lgico)
0,25
Rastreabilidade dos desktops do
32 Departamento devido a utilizao de IPs
vlidos (IPs pblicos)
0,25
Acesso a contedo indevido (alto
4 impacto): Pedofilia, Racismo, documentos
confidenciais
0,10
Acesso a contedo indevido (mdio
5
impacto): Sexo, pornografia e pedofilia
0,95
11 Uso indevido de recursos
0,95
Uso inadequado dos recursos
14
computacionais
0,95
Usurios acessando informaes e
21
recursos sem o devido treinamento
0,75
Ataques a rede atravs de varreduras no
28
sistema (sniffer)
0,75
Impacto
5
5
Matriz
4,75
3,75
5
5
2,50
1,25
5
5
5
5
0,50
0,50
0,50
0,50
4
4
4
4
3,80
3,00
3,00
3,00
2,00
2,00
2,00
1,00
1,00
1,00
0,40
3
3
2,85
2,85
2,85
2,25
2,25
102
Seq. Evento
Probabilidade
18 Violao de direitos autorais
0,50
19 Contratos (SLA ou Terceirizao)
0,50
Pirataria (Obteno de benefcio com
20
software no homologado)
0,50
Descontinuidade da poltica interna devido
23
a mudana da direo em cargos eletivos
0,50
27 Ataques utilizando Engenharia Social
0,50
3 Ataques DoS de baixo impacto: FTP
0,25
Ataque fsico: Acesso no autorizado a
9
ambientes restritos
0,75
Acesso a contedo indevido (baixo
6
impacto): outros contedos
0,95
4.
Impacto
3
3
Matriz
1,50
1,50
1,50
3
3
3
1,50
1,50
0,75
1,50
0,95
Quantificao dos Riscos
1 - Ataque de negao de servio: servio HTTP

Tempo do atraso caso ocorra 2 horas
Custo do atraso
R$ 1.000,00
Fatores considerados
Retrabalho;
1 analista, por R$ 60,00/h;
1 tcnico, por R$ 25,00/h;
Trabalho estimado: de 30 min a 2 horas.
Probabilidade de ocorrncia
5%
Valor monetrio esperado
R$ 50,00
2 - Ataque de negao de servio: servio Webmail

Custo do atraso
R$ 1.000,00
Retrabalho;
1 analista, por R$ 60,00/h;
20%
R$ 200,00
3 - Ataque de negao de servio: servio wireless

Tempo do atraso caso ocorra 1 hora
Custo do atraso
R$ 250,00
Retrabalho;
Trabalho estimado: de 30 min a 1 hora.
103
25%
R$ 62,50
4 - Ataque de negao de servio: servio de impresso

Custo do atraso
R$ 100,00
Retrabalho;
30%
R$ 30,00
5 - Ataque de negao de servio: servio FTP

Custo do atraso
R$ 1.000,00
Retrabalho;
10%
R$ 10,00
6 - Acesso a contedo indevido: pedofilia, racismo e documentos confidenciais

Tempo para reverter o dano
3 meses
Custo do risco
R$ 500.000,00
3 advogados, por R$ 60.000,00 (custas do processo);

marketing, por R$ 100.000,00;
treinamento, por R$ 100.000,00;
1 especialista de segurana, R$ 10.000,00/ms;
recurso tcnico, por R$ 200.000,00.
30%
R$ 150.000,00
7 - Acesso a contedo indevido: sexo e pornografia

3 meses
Custo do risco
R$ 100.000,00
Advogado, por R$ 10.000,00;

marketing;
treinamento;
1 especialista em segurana, por R$ 30.000,00;
recurso tcnico, por R$ 100.000,00.
50%
104
R$ 50.000,00
8 - Acesso a contedo indevido: outros contedos

3 meses
Custo do risco
R$ 100.000,00
1 advogado, por R$ 20.000,00;

1 especialista em segurana,
50%
R$ 50.000,00
9 - Concentrao de informao
Tempo do atraso caso ocorra 5 anos
Custo do atraso
R$ 200.000,00
1 especialista em segurana, por R$ 30.000,00;

1 analista, por R$ 15.000,00;
recurso tcnico, por R$ 50.000,00
50%
R$ 100.000,00
10 - Apropriao indevida da informao

Tempo do atraso caso ocorra 6 meses
Custo do atraso
R$ 250.000,00
1 especialista em segurana, por R$ 7.000,00/ms;

1 analista, por R$ 5.000,00/ms;
recurso tcnico.
10%
R$ 25.000,00
11 - Ataque fsico
Tempo do atraso caso ocorra 15 dias
Custo do atraso
R$ 50.000,00

recurso tcnico.
10%
R$ 5.000,00
12 - Estrutura de cabeamento em desconformidade com as Normas

Custo do atraso
R$ 20.000,00
105

1 tcnico de redes R$ 2.000,00
recurso tcnico.
50%
R$ 10.000,00
13 - Uso indevido de recursos

Tempo do atraso caso ocorra 1 dia
Custo do atraso
R$ 5.000,00

recurso tcnico.
50 %
R$ 2.500,00
14 - Falta de energia eltrica

Tempo do atraso caso ocorra 1 hora
Custo do atraso
R$ 100.000,00

recurso tcnico.
10%
R$ 10.000,00
15 - Desastres naturais
Custo do atraso
R$ 250.000,00

3 tcnico de redes R$ 2.000,00/ms cada
recurso tcnico.
1%
R$ 2.500,00
16 - Uso inadequado dos recursos computacionais

Tempo do atraso caso ocorra 1 dia
Custo do atraso
R$ 5.000,00

recurso tcnico.
50%
106
R$ 2.500,00
17 - Perda da informao, vazamento da informao, furto da informao

Custo do atraso
R$ 500.000,00
1 especialista e segurana da informao R$

7.000,00/ms
recurso tcnico.
50%
R$250.000,00
18 - Violao de direitos de copyright

Tempo do atraso caso ocorra 1 ms
Custo do atraso
R$ 300.000,00

7.000,00/ms
recurso tcnico.
50%
R$ 150.000,00
19 - Contratos (SLA ou Terceirizados)

Custo do atraso
R$ 100.000,00

7.000,00/ms
1 advogado especialista R$ 5.000,00
recurso tcnico.
50%
R$50.000,00
20 - Pirataria (obteno de benefcios com produtos no homologados)

Custo do atraso
R$ 200.000,00

7.000,00/ms
107
recurso tcnico.
50%
R$100.000,00
21 - Usurios acessando informaes e recursos, sem o devido tratamento

Custo do atraso
R$ 100.000,00

7.000,00/ms
recurso tcnico.
50%
R$50.000,00
22 - Ambiente e cultura da organizao

Custo do atraso
R$ 500.000,00

7.000,00/ms
recurso tcnico.
50%
R$250.000,00
23 - Descontinuidade de poltica interna devido a mudana da direo em

cargos eletivos
Custo do atraso
R$ 500.000,00

7.000,00/ms
recurso tcnico.
50%
R$250.000,00
24 - Sinistro ocasionado pelo fogo

Custo do atraso
R$ 1.000.000,00
108

7.000,00/ms
recurso tcnico.
10%
R$100.000,00
25 - Sem registro, documentao dos processos e fluxo da informao, rede,

documentao da estrutura
Custo do atraso
R$ 100.000,00

7.000,00/ms
Recurso tcnico.
75%
R$ 75.000,00
26 - Senhas fracas utilizadas nos servidores e desktops

Custo do atraso
R$ 100.000,00

7.000,00/ms
recurso tcnico.
80%
R$80.000,00
27 - Ataques utilizando Engenharia Social

Custo do atraso
R$ 250.000,00

7.000,00/ms
recurso tcnico.
50%
R$ 125.000,00
109
28 - Ataques a rede atravs de varreduras ao sistema (sniffer)

Tempo do atraso caso ocorra 1 semana
Custo do atraso
R$ 50.000,00

7.000,00/ms
recurso tcnico.
50%
R$25.000,00
29 - Instalao no autorizada de ativo de rede (switch, hub, ponto de acesso

wireless)
Tempo do atraso caso ocorra 1 semana
Custo do atraso
R$ 20.000,00

7.000,00/ms
recurso tcnico.
50%
R$10.000,00
30 - Alta rotatividade da equipe de TI

Custo do atraso
R$ 300.000,00

7.000,00/ms
recurso tcnico.
70%
R$210.000,00
31 Vandalismo (desligamento ou dano a equipamento)

Custo do atraso
R$ 100.000,00

7.000,00/ms
recurso tcnico.
10%
110
R$ 10.000,00
32 Rastreabilidade na rede dos desktops do Departamento devido a utilizao

de IPs vlidos (IPs pblicos)
Custo do atraso
R$ 100.000,00

7.000,00/ms
recurso tcnico.
90%
R$90.000,00
5.
Respostas aos Riscos
Item
Risco
15
Ataque de negao de servio (HTTP, Webmail, wireless,

impresso e FTP)
Classificao Alto
Etapa
Inicial
Gatilho
Anlise do log de monitoramento, gerado quando ocorre a tentativa de

negao do servio.
Resposta
Medidas preventivas para evitar a efetivao do risco;

Reconfigurar o firewall;
Acionar a equipe de resposta a incidentes.
Descrio
Manter os sistemas atualizados e monitorados.
Custo
R$ 80.000,00
Responsvel Administrador da rede.

Item
Risco
68
Acesso a contedo indevido (pedofilia, racismo, documentos

confidenciais, sexo, pornografia e outros contedos)
Classificao Alto
Etapa
Inicial
Gatilho
Anlise do log de monitoramento.
Resposta
Medidas preventivas para evitar a efetivao do risco.
Descrio
Reconfigurar o proxy;
Fazer campanha de conscientizao entre os usurios (AUP).
111
Custo
R$ 2.500,00
Responsvel Administrador da rede.

Item
Risco
Concentrao de informao
Classificao Alto
Etapa
Inicial
Gatilho
Levantamento de unicidade de repositrios de informao ( apenas

um professor em determinada linha de pesquisa).
Resposta
Definir polticas de redundncia da informao (backup de mdias

magnticas; pluralidade de professores por linha de pesquisa;
diversificao dos meios de transporte para professores do mesmo
Departamento);
Revisar as disciplinas ministradas pelos professores.
Descrio
Distribuir e documentar as informaes relevantes
Custo
R$ 25.000,00
Responsvel Administrador da rede e Chefe do Departamento

Item
Risco
10
Apropriao indevida da informao
Classificao Alto
Etapa
Inicial
Gatilho
Identificao de uma informao restrita ou confidencial disponvel a

terceiros;
Deteco atravs de anlise de logs de acesso.
Resposta
Aplicao da legislao legal;

Desenvolver uma poltica de conscientizao para os usurios;
Rever as regras de controle de acesso;
Rever poltica de classificao da informao.
Cuidar com o fluxo de informao na organizao (criptografia,
envelope lacrado, livro de registrado de entrada e sada de
documentos etc..)
Descrio
Resguardar as informaes de modo a proteg-las de acessos

indesejados
Custo
R$ 200.000,00
Responsvel Equipe de segurana da informao

Item
Risco
11
Ataque fsico
Classificao Alto
Etapa
Inicial
112
Gatilho
Identificao de invaso a ambiente de acesso restrito.
Resposta
Sinalizao rea de acesso restrito;

Sistema de monitoramento com cmeras;
Sistema de identificao de acesso atravs do uso de fechadura
eletrnica;
Treinamento dos funcionrios responsveis pelo controle do acesso
fsico.
Descrio
Manter as reas sinalizadas e monitoradas buscando controle dos

acessos.
Custo
R$ 50.000,00
Responsvel Segurana patrimonial.

Item
Risco
12
Estrutura de cabeamento em desconformidade com as Normas
Classificao Alto
Etapa
Intermediria
Gatilho
Ocorrncia de interrupo de aceso rede;

Diminuio do ndice de disponibilidade da rede;
Throuput reduzido.
Resposta
Reviso da rede para correo das irregularidades.
Descrio
Certificao da rede de cabeamento.
Custo
R$ 150.000,00
Responsvel Equipe de infraestrutura de redes.

Item
Risco
13
Uso indevido de recursos
Classificao Mdio
Etapa
Intermediria
Gatilho
Logs de registro;
Servios detectados no(s) servidor(es) incompatvel com atividade do
usurio;
Uso excessivo de banda para download no autorizado.
Resposta
Campanha de conscientizao dos usurios;

Fiscalizao dos recursos pela equipe de administrao da rede.
Descrio
Monitorar os acesso a recursos computacionais buscando minimizar

custos e aumentar a segurana.
Custo
R$ 3.000,00
Responsvel Administrador da rede

Item
Risco
113
14
Falta de energia eltrica
Classificao Alto
Etapa
Inicial
Gatilho
Interrupo do servio pela concessionria
Resposta
Utilizao de no-break e gerador de energia.
Descrio
Manter o no-break e o gerador de energia em condies para

entrarem em funcionamento a qualquer momento;
Definir reas prioritrias para recebimento dos no-breaks;
Combinar com as reas um esquema de revezamento para utilizao
do gerador.
Custo
R$ 250.000,00
Responsvel Equipe de logstica

Item
Risco
15
Desastres Naturais
Classificao Baixa
Etapa
Intermediaria
Gatilho
Alertas gerados pelas organizaes responsveis por desastres, como

por exemplo a Defesa Civil local, Brigada de incndio, CIPA.
Resposta
Aes de respostas aos alertas emitidos pelos rgos competentes,

por exemplo, evacuao do recinto, desligamento da energia eltrica,
retirada fsica dos servidores dos locais de trabalho, acionamento da
brigada de incndio.
Descrio
Estar sempre em estado de alerta, treinamento de equipe para

resposta ao sinistro como objetivo de reduo do dano.
Custo
R$ 350.000,00
Responsvel Diviso de Segurana e Sade do Trabalhador DSST e o

Departamento de Segurana Patrimonial do Campus UFSC DST.
Item
Risco
16
Uso inadequado dos recursos computacionais
Classificao Alto
Etapa
Intermediria
Gatilho
Servio interrompido ou ineficiente.
Resposta
Definio de um padro aceitvel de utilizao.
Descrio
Definio de um AUP (poltica de uso aceitvel dos recursos

computacionais); treinamento dos usurios e monitoramento do uso
dos recursos.
Custo
R$ 50.000,00
114
Responsvel Chefe do Departamento e Administrador da rede.

Item
Risco
17
Perda da informao, vazamento da informao, furto da

informao.
Classificao Alto
Etapa
Inicial
Gatilho
Reclamaes dos usurios, retrabalho, constatao de apropriao de

informaes a pessoas no autorizadas.
Resposta
ABNT NBR ISO/IEC 17799
Descrio
Criar uma poltica de backup; definir um protocolo para o tratamento

da informao com classificao: Restrito Uso Interno
Confidencial e aplicao da ABNT NBR ISO/IEC 17799; restringir o
acesso informao; definir polticas de segurana, como por
exemplo, definir reas restritas ao acesso de pessoas; desabilitar
portas USB de CPUs; possuir na organizao mquinas
fragmentadoras de papel.
Cuidar do fluxo de informao na organizao (criptografia, envelope
lacrado, livro de registro de entrada e sada de documentos em
trnsito etc..); definir responsvel pelo tratamento das informaes
consideradas criticas pela organizao.
Custo
R$ 150.000,00
Responsvel Donos, manipuladores das informaes

Item
Risco
18
Violao dos direitos de copyright
Classificao Alto
Etapa
Inicial
Gatilho
Verificao de utilizao de software no homologado, grande nmero

de cpias de livros, artigos, normas em empresas de fotocopiadoras
no Campus.
Resposta
Educao e um convnio, com estas empresas detentoras dos direitos

autorais, com a inteno de facilitar o acesso aos seus produtos com
reduo do preo de aquisio.
Descrio
Uma campanha de educao com enfoque a respeito aos direitos

autorais.
Custo
R$ 100.000,00
Responsvel A direo da UFSC

Item
Risco
19
Contratos (SLA ou Terceirizados)
Classificao Alto
115
Etapa
Final
Gatilho
Evaso de informaes, espionagem industrial
Resposta
SLA, Contrato
Descrio
Elaborao de um contrato que defini claramente as

responsabilidades da Empresa terceirizado com o trato das
informaes do Departamento EQA.
Custo
R$ 15.000,00
Responsvel Chefe do EQA

Item
Risco
20
Pirataria (obteno
homologados)
de
benefcios
com
produtos
no
Classificao Alto
Etapa
Inicial
Gatilho
Deteco de revenda de software e venda de xrox de livros em

bancas
Resposta
Campanha para conscientizar os usurios

comercializao e aquisio produtos pirateados
Descrio
Campanha de conscientizao e aumento da fiscalizao com o

acionamento da Policia Federal
Custo
R$ 50.000,00
do
problema
de
Responsvel Administrao Central da UFSC

Item
Risco
21
Usurios acessando informaes e recursos, sem o devido

treinamento
Classificao Alto
Etapa
Intermediaria
Gatilho
Perda de informaes, inviabilizaro de recursos computacionais,

fragilizao da segurana das informaes
Resposta
Treinamento, definio clara das responsabilidades do usurio
Descrio
Realizao de treinamento para os usurios, definio de uma Poltica

de Uso Aceitvel (AUP) para os recursos do Departamento.
Custo
R$ 50.000,00
Responsvel Direo do EQA

Item
Risco
22
Ambiente e cultura da organizao
Classificao Alto
116
Etapa
Final
Gatilho
Descaso pelos usurios com as normas da organizao
Resposta
Campanha de conscientizao, rigidez nos processos administrativos,

implantar uma poltica de valorizao da tica profissional na
organizao
Descrio
Campanha de conscientizao, tica profissional, rigidez nos processos administrativos de

funcionrios na organizao, minimizao do corporativismo existente na organizao,
eliminar a politizao dos cargos da organizao (meritrocacia)
Custo
R$ 50.000,00
Responsvel Direo do Departamento

Item
Risco
23
Descontinuidade de poltica interna da organizao devido a

mudana da direo em cargos eletivos
Classificao Alto
Etapa
Final
Gatilho
Descontinuidade de polticas
Resposta
Definir diretrizes mnimas de uma poltica na organizao
Descrio
Definir diretrizes mnimas de uma poltica na organizao como

conhecimento claro pelos usurios da misso, viso, negcio.
Diretrizes bem definidas e claras com um planejamento estratgico a
curto,mdio e longo prazo.
Custo
R$ 50.000,00

Item
Risco
24
Sinistro ocasionado pelo fogo
Classificao Mdio
Etapa
Inicial
Gatilho
Fumaa
Resposta
Definir responsvel para desligar equipamentos e relatrios tcnicos

de acompanhamento das instalaes eltricas
Descrio
Definir responsvel para desligar os equipamentos principalmente os

destiladores em laboratrios e cafeteiras eltricas nas reparties.
Instalao de novos equipamentos eltricos somente com aval de um
profissional da rea eltrica (sobrecarga). Planejamento para
instalao de novos equipamentos.
Custo
R$ 5.000,00
Responsvel Supervisores dos Laboratrios

Item
Risco
117
25
Sem registro, documentao dos processos

informao, rede, documentao da estrutura
fluxo
da
Classificao Baixo
Etapa
Inicial
Gatilho
Constatao em determinadas situaes da necessidade ter acesso a

registro, documentao, planta para poder resgatar uma determinada
informao.
Resposta
Documentar, registrar, mapear as informaes
Descrio
Documentar, registrar, mapear as informaes
Custo
R$ 5.000,00

Item
Risco
26
Senhas fracas utilizados nos servidores e desktops
Classificao Alto
Etapa
Inicial
Gatilho
Constatao de acesso de pessoas no autorizadas a determinados

sistemas
Resposta
Definir e aplicar normas para elaborao de senhas para repositrios

de informao
Descrio
Aplicar um sistema de gerenciamento de senha conforme a ABNT

ISO/IEC 17799
Custo
R$ 1.000,00
Responsvel Direo do EQA e administrador de rede

Item
Risco
27
Ataques utilizando Engenharia Social
Classificao Alto
Etapa
Intermediria
Gatilho
Constatao de acesso de pessoas no autorizadas a determinados

sistemas, logs de registro de invaso.
Resposta
Treinamento aos usurios e monitores no sistema para detectar

invases
Descrio
Treinamento aos usurios com relao a abordagem de algum agente

utilizando engenharia social para ter acesso a alguma informao da
organizao, colocao de IDS no sistema
Custo
R$ 1.000,00

Item
Risco
118
28
Ataques a rede atravs de varreduras ao sistema (sniffer)
Classificao Alto
Etapa
Inicial
Gatilho
Logs de sistema de deteco de intrusos ao sistema
Resposta
Monitorar e avaliar os logs de ocorrncia destes eventos
Descrio
Monitorar e avaliar os logs de ocorrncia destes eventos,

reengenharia da rede no intuito de sanar possveis vulnerabilidades
Custo
R$ 1.000,00

Item
Risco
29
Instalao no autorizada de ativo de rede (switch, hub, ponto de

acesso wireless)
Classificao Alto
Etapa
Intermediria
Gatilho
Constatao de um novo ativo de rede sem o conhecimento da

administrador da rede
Resposta
Equipamento novo somente com autorizao do administrador de rede
Descrio
Definir uma poltica onde somente adquiri e instala equipamentos com

autorizao do administrador com configuraes definidas pelo
administrador
Custo
R$ 1.000,00

Item
Risco
30
Alta rotatividade da equipe de TI
Classificao Alto
Etapa
Intermediria
Gatilho
Constatao de alta rotao da equipe de TI
Resposta
Promover melhorias no ambiente de trabalho bem como valorizao

salarial.
Descrio
Implantar uma poltica salarial mais agressiva bem como melhoria no

ambiente de trabalho para possibilitar a permanncia destes
profissionais na organizao e motivao. Implantar um poltica de
gesto de pessoal.
Custo
R$ 40.000,00
Responsvel Direo do CTC e direo do EQA

Item
Risco
119
31
Vandalismo (desligamento ou dano a equipamento)
Classificao Baixo
Etapa
Inicial
Gatilho
Constatao da inoperncia de algum servio
Resposta
Restrio de acesso e monitoramento
Descrio
Restrio de acesso e monitoramento
Custo
R$ 50.000,00
Responsvel Departamento de Segurana Patrimonial

32
Rastreabilidade na rede dos desktops do Departamento devido a

utilizao de IPs vlidos (IPs pblicos)
Classificao Alto
Etapa
Intermediaria
Gatilho
Constatao de invaso de algum desktop por agentes externos a

rede interna. Logs de sistema de monitoramento
Resposta
Firewall, IDS, IPS
Descrio
Configurao de Firewall, criao de zonas desmilitarizadas,

implantao de sistemas de deteco de invaso e sistemas de
preveno de invaso
Custo
R$ 250.000,00
Responsvel Administrador da Rede
6.
Reservas de Contingncia
So reservas destinadas exclusivamente ao processo de gerenciamento de

risco, identificados no planejamento como aceitveis, e para os riscos no
identificados de modo preliminar no projeto
As reservas sero usadas de acordo com as solicitaes de mudana e dentro
da autonomia do gerente de projeto e tambm do aval do patrocinador. As aes de
contorno ou respostas aos riscos devem utilizar exclusivamente as reservas de
contingncia do projeto.
As reservas de contingncia totalizaram 2.232.942,50 e o gerente de projeto
tem as seguintes autonomias quanto utilizao das reservas:
Reservas de Contingncia
Gerente de projeto isoladamente
At 25% do valor da contingncia
Gerente de projeto com aval do At 50% do valor da contingncia
patrocinador
Somente o patrocinador
Acima de 50% e at o limite das reservas
120
7.
Frequncia de atualizao do Plano de Gerenciamento

de Riscos
O plano de Gerenciamento de Riscos ser reavaliado trimestralmente nas

reunies realizadas com a equipe de projeto, ou em convocao extraordinria em
casos de epidemia de novos riscos.
8.
Alocao financeira para o gerenciamento de riscos
Ser alocado o valor de R$ 5.803.350,00, para a gesto dos riscos sendo: R$

2.232.942,50 (reserva de contingncia) + 15 % do valor contingenciado R$
334.941,38 (Riscos no identificados)
9.
Responsveis pela administrao do plano
Membros da equipe da especializao em Gesto da Segurana da

Informao: Jorge Antnio Coelho de Sousa, Roberto Rivelino Dias, Rossano
Cancelier e Sandro do Santos Souza.
10. Registro de Alteraes

Registro de Alteraes
Data
Modificado por
Descrio da mudana Aprovado por
15/06/09 Sandro
dos Ajuste de custos
Santos Souza
18/06/09 Jorge A. Coelho
Identificao de
novo risco (n 23)
Sr. lvaro Toubes Prata - Reitor

um Coordenador do EQA Prof.
Dr. Agenor Furigo Jr.
11. Aprovado por:
______________________________ ___________________________
Sr. Sandro dos Santos - Ger. do Projeto Sr. lvaro Toubes Prata - Sponsor
121
Apndice II - Proposta de Poltica de Segurana.

Poltica UFSC-EQA-100709
Submetido por:
Aprovado por:
reas/Unidades:
Grupo JRRS
Gestores de Segurana da Informao da UFSC
Esta poltica aplicvel ao EQA
Escopo da Poltica:
Nmero da Poltica:
Data de efetivao:
Corporativo
UFSC-EQA-001/09
11/07/2009
Verso: 2.2
Contedo da Poltica
JUSTIFICATIVA:
Uma poltica de segurana um instrumento para proteger a organizao
contra ameaas segurana da informao que a ela pertence ou que est sob sua
responsabilidade. Uma ameaa segurana compreendida neste contexto como a
quebra de uma ou mais de suas trs propriedades fundamentais:
- CONFIABILIDADE;
- INTEGRIDADE;
- DISPONIBILIDADE.
Desta forma a poltica de segurana atribui direitos e responsabilidades a
usurios de estaes computacionais do EQA bem como todo acesso a rede/EQA.
ASPECTOS PRELIMINARES:
A poltica de segurana deve cobrir os seguintes aspectos:
- abrangncia e escopo de atuao da poltica;
- definies fundamentais;
- normas e regulamentos aos quais a poltica est subordinada;
- quem tem autoridade para sancionar, implementar e fiscalizar o
cumprimento da poltica;
- meios de distribuio da poltica;
- como e com que freqncia a poltica revisada;
- definio de uma poltica de senhas;
- direitos e responsabilidades dos usurios;
- direitos e responsabilidades da administrao da rede;
- aes previstas em caso de violao da poltica.
122
Escopo e aplicabilidade
Esta poltica endereada ao EQA, seus departamentos, incluindo alunos e
funcionrios em todos os nveis e formas de contratao.
Nvel de aplicabilidade e aceitao
Todas as pessoas as quais esta poltica for endereada devem aceit-la e
empreg-la em sua totalidade (100% de aderncia).
Circunstncias Especiais e Excees
Quando no se puder atender a aplicabilidade e aceitao desta, dever ser
informado ao comit de segurana por escrito o motivo de no aceitao da mesma
para que se possa determinar o correto nvel de exceo. Gestores e diretores no
esto autorizados a modificar ou criar excees a esta poltica.
Termo
SI
ASD
HTTP
FTP
SSL
WTLS
SGBD
Cluster
TLS
PGP
RFID
DMZ
IDS
IPS
VLAN
Definies, acrnimos, termos e palavras chave

Definio
Segurana da Informao
A Ser Definido
Hypertext Transfer Protocol
File Transfer Protocol
Secure Sockets Layer
Wireless Transport Layer Security
Sistema de Gerenciamento de Banco de Dados
Aglomerado de computadores
Transport Layer Security
Pretty Good Privacy (privacidade bastante boa)
Radio-Frequency Identification (Identificao por Rdio Frequncia)
DeMilitarized Zone (zona desmilitarizada)
Intrusion Detection System (sistema de deteco de intruso)
Intrusion Prevention System (sistema de preveno de intruso)
Virtual Local Area Network (rede local virtual)
123
Papis e responsabilidades
Os papis e responsabilidades no desenvolvimento desta poltica incluem:
Papel
Descrio
Detalhes
Patrocinador
Stack holder, ou responsvel UFSC
financeiro
Proponente
rgo solicitante da poltica
Departamento tcnico
EQA
Desenvolvedor Grupo desenvolvedor da poltica
Grupo JRRS
Revisor
Responsvel pela reviso da Departamento tcnico
poltica
EQA
Aprovador
Responsvel pela aprovao da Departamento tcnico
poltica
EQA
Implementador Responsvel pela implementao Departamento tcnico
da poltica
EQA
do
do
do
do
Os papis e responsabilidades no desenvolvimento, implementao e

superviso desta poltica incluem:
Papel
Gesto de Negcios
Gesto Tcnica
Segurana de dados
Gerencia de risco
Engenheiro de redes
Descrio
ASD
Define, implanta, controla e
ajusta
polticas
de
segurana
Responsvel pela guarda e
processamento dos dados
da UFSC
ASD
Responsvel
pela
infraestrutura das redes da
UFSC
Detalhes
ASD
Ncleo de Desenvolvimento
e Assessoramento Tcnico
(NDA)
Ncleo de Processamento
de Dados (NPD)
ASD
Ncleo de Processamento
de Dados (NPD)
124
Poltica de Uso Aceitvel

A administrao dos recursos computacionais e recursos de rede do EQA, no
autoriza o uso de sua rede de computadores e estaes de trabalho para os
seguintes fins:
Transmitir ou divulgar ameaas, pornografia infantil, material racista, discriminatrio
ou qualquer outro que viole a legislao em vigor no EQA, na UFSC e do Brasil;
Propagar vrus de computador ou qualquer programa de computador que possa
causar danos permanentes ou temporrios em equipamentos de terceiros;
Transmitir tipos ou quantidades de dados que possam causar falhas em servios
ou equipamentos na rede do EQA ou de terceiros;
Utilizar computadores ou a rede de computadores do EQA para efetuar
levantamento de informaes no autorizado (SCAN) na rede de computadores do
EQA ou de terceiros;
Uso da rede de computadores do EQA para o trnsito de mensagens de e-mail
com cabealhos invlidos ou alterados, de forma a dificultar ou impedir a
identificao da sua origem, ou mensagens enviadas atravs de servidores de email de terceiros, sem a autorizao dos respectivos responsveis (relaying);
Usar a rede para tentar e/ou realizar acesso no autorizado a dispositivos de
comunicao, informao ou computao;
Utilizao dos computadores e redes de computadores do EQA para a coleta de
endereos de e-mail dos seus clientes.
Forjar endereos Internet de mquinas, de rede ou de correio eletrnico, na
tentativa de responsabilizar terceiros ou ocultar a identidade ou autoria;
Destruir ou corromper dados e informaes de terceiros;
Violar a privacidade de terceiros;
Distribuir via correio eletrnico, grupos de discusso, fruns e formas similares de
comunicao mensagens no solicitadas do tipo 'corrente' e mensagens em massa,
comerciais ou no (ver Poltica AntiSPAM);
Enviar grande quantidade de mensagens idnticas ao mesmo destinatrio por
correio eletrnico - DoS (mail bombing);
Transmitir, distribuir ou armazenar materiais protegidos por direito autoral ou
quaisquer outros direitos de propriedade intelectual;
A utilizao de recurso computacional e da rede EQA sem o mnimo de
conhecimento de uso e manuteno, em nveis aceitvel, dos aplicativos, antivrus e
ferramentas de manuteno do sistema operacional e atualizao do sistema
operacional (service pack).
125
Navegar sites no recomendados, e o uso de salas de bate-papo ( ICQ,IRC,

MENSSANGER etc...) que possibilitam a contaminao por WORM e VIRUS a
estao de trabalho comprometendo todo a rede EQA;
Obs: O acesso a estes sites fica autorizado fora do horrio comercial (18:00 s 7:30)
sendo que os usurios que utilizarem estas ferramentas, durante este perodo, ficam
responsveis por seu uso nas respectivas CPUs.
A utilizao, devido a sua alta vulnerabilidade, os sistemas operacionais Windows
95, 98 e Millenium para acesso a rede EQ.
O ingresso de uma nova mquina (n) ou qualquer outro dispositivo bem como a
segmentao da rede EQA sem prvia autorizao da administrao da rede,
inclusive implantao de wlans (wireles lans).
Disponibilizar estaes de trabalho e acesso a rede a terceiros sem prvia
autorizao da administrao da rede do EQA.
Ouvir qualquer tipo de radio on line, filmes via rede (inclusive fazer downloads),
jogos de entretenimento em rede, utilizar kazaa ou outro programa de busca de
msica e multimdia e/ou qualquer outro aplicativo que sature a banda de rede do
EQA.
Quaisquer outros usos que violem a legislao vigente na UFSC e no Brasil.
Regras e aes
A poltica de uso aceitvel tem sua abrangncia a instalaes computacionais do
Departamento/EQA e devero ser respeitadas pelos seus respectivos usurios;
A fiscalizao caber a administrao da rede do EQA;
A violao destas normas poder resultar em suspenso temporria ou

cancelamento dos servios prestados, alm das demais medidas
necessrias, incluindo, mas no se limitando remoo de dados,
desativao de servidores e implementao de filtros. Todos os recursos
devero ser apreciados por uma comisso constituda de: 01 (um)
representante do corpo docente, 01 (um) representante do corpo discente e
01 (um) representante do corpo tcnico-administrativo eleita pelo chefe do
departamento EQA;
Obedecendo as prticas definidas para a Internet, ser mantido o endereo

do suporte (suporte@enq.ufsc.br) para servir de canal de reclamao de
prticas abusivas vindas da rede de computadores da rede EQA. As pessoas
que se sentirem prejudicadas por pacotes de dados vindos de nossa rede
devem denunciar a prtica enviando um e-mail para esse endereo com
informaes detalhadas, inclusive registros de computadores (logs), sobre a
prtica abusiva e como um canal de solicitao de servios de suporte;
126
A administrao da rede EQA disponibiliza para os usurios: o programa de

antivrus atualizado, treinamento para o uso deste antivrus;
A UFSC disponibiliza treinamento para uso de aplicativos utilizados no

computador atravs dos projetos OFICINAS e similares;
O Ncleo de Processamento de Dados da UFSC (NPD) d suporte ao usurio

da rede EQA disponibilizando alguns servios como por exemplo a remoo
de vrus;
de responsabilidade do usurio a instalao e manuteno de aplicativos

em sua estao de trabalho;
Todo usurio deve adotar a poltica de realizar backup (cpia de segurana)

de seu material, a administrao do EQA no se responsabiliza por possveis
perdas;
Controle de acesso s informaes

Aps a classificao das informaes deve-se definir um sistema que
disponibilize a informao conforme o perfil do usurio que desejar acessar o
sistema. Isto se consegue atravs de um sistema de domnio classificando um grupo
de usurios, onde cada usurio que acessar o sistema atravs login/senha ou carto
ou token etc. Possuir acesso somente as informaes pr- definidas para o seu
perfil.
Acesso Full somente para o Chefe e Sub-Chefe, Coordenadores dos cursos de
ps-graduao e dos projetos de ensino, pesquisa e extenso aos demais usurios
limitar o acesso somente para as atividades fins.
Local de armazenamento
O Departamento apresenta os seus repositrios de informaes dispersos na
organizao e sem nenhum critrio de armazenamento, sem um sistema de
redundncia, controle de acesso etc..
Recomenda-se que a organizao possua um centro de armazenamento das
informaes para facilitar o controle e acesso. Deve possuir um sistema de
armazenamento profissional obtido atravs de storages ou outra soluo similar,
bem como a definio do local no ambiente organizacional que seja possvel
restringir o acesso e que seja seguro contra ataques e a riscos de enchente, fogo,
engenharia social, etc.
Soluo proposta
A soluo para este cenrio ampla e deve ser aplicada nos seguintes pontos:
A Poltica de Segurana deve ser revisada/implementada no sentido de
impedir o armazenamento de informao sensvel nos desktops,
smartphones e notebooks, e sim diretamente no servidor de arquivos e de
SGBD. Neste ltimo ser utilizada criptografia nativa (ex:PGP), para
cifragem dos dados. Toda informao ser classificada e sua propriedade
127
definida.
A Poltica de Segurana dever conter tambm formas de responsabilizao
dos usurios, inclusive os terceirizados, e definir a quem caber a guarda e
custdia da informao classificada como privada e confidencial.
Deve prever a periodicidade de reviso do plano de segurana, os critrios
para a segurana fsica da informao e a capacitao dos responsveis
pela sua guarda, visando principalmente evitar ataque de Engenharia Social;
Para garantir a autenticidade, cada usurio ser validado atravs de uma
chave privada, armazenada num token de uso pessoal. Esta chave ser
utilizada para acesso aos dados do servidor de arquivos e ao SGBD. Desta
forma o sistema tentar garantir a confidencialidade das informaes apenas
para as pessoas autorizadas;
Nas estaes e notebooks dos pesquisadores, os dados devero ser
armazenados utilizando criptografia. A chave privada ser armazenada em
token ou smart card e, por medida de segurana, uma cpia desta chave
ser armazenada no EQA. Desta forma, caso o desktop ou o notebook
sejam furtados e as suas informaes no sero roubadas;
Para garantir que as informaes no sero interceptadas por pessoas no
autorizadas, todo o trfego da rede cabeada, dever ser criptografado
utilizando o protocolo TLS/SSL e o trfego da rede wireless dever ser
criptografado utilizando o protocolo WTLS;
Para os sistemas telefnicos implementar o protocolo secvoice para evitar
escutas telefnicas (grampos);
O acesso fsico aos ambientes de pesquisa e desenvolvimento acadmico
ser controlado, utilizando-se biometria, atravs de SC RFID, smart card ou
token;
Os servidores de banco de dados e de aplicao devero ter criptografia na
camada de aplicao. Ambos no sero visveis pela internet e somente
sero acessados de forma indireta pelos servidores localizados na DMZ. O
acesso remoto ser atravs do protocolo SSL. Os servidores de FTP e
HTTP, que no contenham dados sensveis sero deslocados para a DMZ.
Disponibilizar o storage numa zona militarizada (firewall, IDS, IPS, Vlan
securty, etc..) juntamente com os outros servidores crticos.
Utilizar criptografia assimtrica para o sistema de e-mail do departamento.
Poltica dos dispositivos mveis

Os dispositivos mveis devem ser autenticados e ter suas informaes
criptografadas, atravs da utilizao de token, incluindo o acesso a VPNs. O
equipamento escolhido o modelo iKey 2032, fornecido pela empresa SafeNet e o
aplicativo homologado para iterao o MS Crypto. A no utilizao desta
tecnologia, constatada atravs de auditoria, acarretar nas seguintes punies:
Na primeira ocorrncia: advertncia escrita e registro na ficha funcional;
Na segunda ocorrncia: suspenso funcional por 30 dias;
Na terceira ocorrncia: cancelamento do direito de utilizao do dispositivo
mvel do Departamento;
S podem acessar a rede equipamentos da instituio;
128
Documentao de apoio
Abaixo uma relao de documentos para apoio:
Documento
ISO 27001
Origem
International Organization
for Standardization e
International
Electrotechnical Commision.
ISO 17799
International Organization
for Standardization e
International
Electrotechnical Commision.
NS110709_v1.0 Equipe JRRS
Aplicabilidade
Padro para sistema de gerncia
da segurana da informao
Conjunto, de recomendaes para

prticas na gesto de Segurana
da Informao
Define acessos seguros s
informaes atravs da utilizao
de protocolos seguros.
Sanes
As sanes adotadas nesta poltica so suportadas pela norma interna UFSCNI-001.
Para maiores detalhes consulte a norma disponvel na Intranet corporativa, na
seo normas de segurana e sanes.
129
Histrico de Alteraes
Modificado por
Verso
Data
Nome
Funo
1.0
10-07-2009
Roberto Rivelino Dias
Coordenao de Segurana da
Informao
Controle de Aprovaes
Aprovado por
Verso
Data
Nome
Funo
1.0
10-07-2009
Rossano Cancelier
CEO
Controle de Revises
Verso
Nome
Data
Descrio
1.0
Jorge Antnio Coelho de Sousa
10-07-2009
Criao da poltica
Referncias
ISO 27001, ISO 17799
Recursos
N/A
Equipe:
Rossano Cancelier
130
Apndice III - Plano de contingncia do EQA
1. Objetivo
O objetivo deste Plano de Contingncia visa assegurar o processo de
desenvolvimento contnuo das pesquisas do Departamento de Engenharia Qumica
e Engenharia de Alimentos (EQA) em caso de incidentes, envolvendo falhas de
hardware e/ou de software, destruio ou perda de documentos, devido a desastres
naturais ou por falha humana, dentre outros, que possam provocar indisponibilidade
ou interrupo desta atividade.
Este Plano tem como escopo precpuo a salvaguarda das informaes,
desenvolvidas e armazenadas nos laboratrios do EQA, inerentes aos projetos de
pesquisa.
2. Organizao
A organizao deste Plano de Contingncia composta por diversos grupos,
com funes e caractersticas distintas.
Estes grupos sero responsveis pelas diversas fases e etapas de implantao
e ativao do Plano de Contingncia.
a) Comit de Segurana
Grupo responsvel por exercer a coordenao geral do Plano de
Contingncia;
Garantir que a restaurao das atividades de pesquisa ocorra dentro do prazo
estipulado no Plano de Contingncia conforme a criticidade de cada projeto;
Este grupo composto por membros das seguintes reas:
o Pesquisa;
o Informtica;
o Auditoria;
o Segurana da Informao.
b) rea de Pesquisa
Grupo responsvel pela coordenao das atividades do Plano de
Contingncia relacionadas com a rea de pesquisa;
Este grupo composto por representantes das pesquisas desenvolvidas no
EQA:
o Coordenadores dos CPGENQ, CPGEA;
o Coordenadores de pesquisa.
c) Apoio Administrativo
Grupo responsvel pela coordenao das atividades administrativas,
necessrias para a execuo do Plano de Contingncia;
o NDA (Ncleo de Desenvolvimento e Assessoramento tcnico) - TI;
o Coordenadores dos cursos:
CPGENQ;
CPGEA;
o Coordenador dos cursos de Pesquisa.
131
d) Aplicativos
Grupo responsvel pelo desenvolvimento das aplicaes necessrias
execuo do Plano de Contingncia;
o NPD (Ncleo de Processamento de Dados) TI;
o NDA TI:
Supervisor do NDA;
o Coordenadores de pesquisa.
e) Hardware
Grupo responsvel pela coordenao do hardware necessrio ao Plano de
Contingncia;
o NDA TI;
o NPD TI:
Tcnicos e Supervisor do NPD.
f) Software
Grupo responsvel pela manuteno e execuo do software necessrio ao
Plano de Contingncia;
o NDA TI;
o NPD TI;
g) Operao
Grupo responsvel pela operacionalizao do hardware e software
necessrios ao Plano de contingncia;
o NDA TI;
o NPD TI.
h) Comunicaes
Coordenar e executar os procedimentos necessrios manuteno e
operacionalizao do Plano de Contingncia;
o NDA-TI;
o NPD-TI;
o Setor de telefonia/Proinfra/UFSC.
i) Microinformtica
Este grupo responsvel pela execuo dos procedimentos necessrios
manuteno e operacionalizao da estrutura de microinformtica necessria
ao Plano de Contingncia;
Entende-se microinformtica as seguintes atividades de manuteno, suporte
de equipamentos operacionais tal como, desktops, notebooks, PDAs,
Smartphones e dispositivos portteis;
o NDA-TI;
o NPD-TI;
o Operao;
132
3. Responsabilidades
Comit de Segurana
Permanentes
Coordenar as atividades dos demais grupos;
Revisar periodicamente o plano de contingncia;
Distribuir cpia do plano de contingncia aos demais grupos;
Informar aos demais grupos o status do plano de contingncia;
Organizar e coordenar a execuo dos testes do plano de contingncia;
Dar apoio a todos os grupos envolvidos no plano de contingncia.
Na ativao da contingncia
Registrar os incidentes;
Coordenar a ativao do plano de contingncia;
Coordenar as atividades dos demais grupos.
Durante a contingncia
Coordenar as atividades dos demais grupos;
Resolver conflitos entre os grupos;
Solucionar problemas imprevistos.
Retorno normalidade
Coordenar as atividades de retorno normalidade;
Registrar as situaes no previstas
rea de Pesquisa
Permanentes
Registrar as caractersticas de cada pesquisa desenvolvida no EQA;
Definir o grau de importncia e criticidade de cada pesquisa;
Registrar os recursos necessrios cada pesquisa;
Manter o Comit de Segurana informado sobre cada pesquisa em
desenvolvimento;
Informar ao Comit de Segurana qual a estrutura mnima necessria
para cada pesquisa em desenvolvimento.
Seguir as orientaes do Comit de Segurana;
Ativar o plano de contingncia, caso o incidente esteja relacionado sua
rea de responsabilidade.
Executar o plano de contingncia, caso o incidente esteja relacionado
sua rea de responsabilidade;
Monitorar as atividades em execuo sob sua responsabilidade;
Manter os demais grupos informados quanto s etapas executadas.
Retorno normalidade
Preparar e ativar a estrutura de retorno normalidade, caso o incidente
ocorrido esteja relacionado sua rea de responsabilidade;
Relatar ao Comit de Segurana as situaes que no foram previstas no
plano de contingncia.
133
Apoio Administrativo
Permanentes
Manter atualizados os meios de comunicao dos envolvidos no plano de
contingncia, tais como: nmeros de telefone (celular e fixo), endereos (de
e-mail, residencial e profissional);
Divulgar, aos membros do plano de contingncia, os meios de
comunicao de todos os envolvidos;
Manter reserva de recursos financeiros suficiente para operacionalizar o
plano de contingncia.
Seguir as orientaes do Comit de Segurana;
Ativar o plano de contingncia, caso o incidente esteja relacionado sua
rea de responsabilidade;
Fornecer local apropriado para instalao do Centro de Operaes do
Plano de Contingncia;
Prover o local do Centro de Operaes com meios de comunicao
adequados s necessidades do grupo;
Fornecer material de escritrio bsico (lpis, caneta, papel, mesa, cadeira e
armrio), para atividades no tecnolgicas;
Fornecer meios de transporte adequados s necessidades de locomoo
dos membros do grupo.
Retorno normalidade
Apoiar administrativamente os demais grupos nas rotinas de retorno
normalidade.
Aplicativos
Permanentes
Manter atualizadas todas as rotinas que compem o plano de contingncia;
Desenvolver as rotinas destinadas aos servios crticos;
Manter atualizadas, e em lugar seguro, cpias da documentao dos
sistemas de aplicativos de servios crticos;
Prever e desenvolver rotinas para atender a todas as condies de retorno
normalidade, para as rotinas de contingncia.
Dar apoio necessrio para a ativao do plano de contingncia.
Dar apoio e auxlio tcnico para a soluo de problemas imprevistos;
Efetuar as correes necessrias nos sistemas de aplicativos de
contingncia.
Retorno normalidade
Apoiar tecnicamente os demais grupos nas rotinas de retorno
normalidade.
134
Hardware
Permanentes
Manter atualizada e informar, aos grupos que participam do plano de
contingncia, a relao dos equipamentos existentes e a situao de cada
um;
Pesquisar e providenciar um centro de processamento de dados alternativo
com as caractersticas mnimas necessrias execuo do plano de
contingncia;
Analisar e propor as melhores alternativas de contingncia para o hardware
utilizado pelos pesquisadores do EQA.
Comunicar aos grupos que participam do plano de contingncia quaisquer
avarias que possam afetar as pesquisas em desenvolvimento no EQA,
fornecendo a previso para correo do problema;
Efetuar os contatos com os fornecedores de peas e suprimentos para
garantir a reposio dos componentes danificados.
Providenciar o reparo/substituio da instalao/hardware danificado;
Providenciar o(s) equipamento(s) alternativo(s) e ativ-lo(s);
Contatar os fornecedores visando a reposio das peas e suprimentos
danificados.
Retorno normalidade
Concluir a correo ao(s) equipamento(s) danificado(s) e comunicar a
todos os grupos que participam do plano de contingncia, visando o retorno
normalidade.
Software
Permanentes
Manter atualizada e informar, aos grupos que participam do pano de
contingncia, a relao de todos os softwares disponveis na instalao,
identificando sua utilizao e usurios principais;
Instalar e manter atualizado(s) equipamento(s) alternativo(s), com o(s)
sistema(s) operacional(is) utilizado(s) pelos pesquisadores do EQA;
Planejar e colocar em prtica o esquema de cpias de contingncia para
todos os softwares crticos que sero necessrios ao plano de
contingncia.
Ativar o(s) hardware(s) com o(s) sistema(s) operacional(is) necessrio(s)
ao plano de contingncia;
Instalar o(s) software(s) crtico(s) necessrio(s) ao plano de contingncia.
Apoiar e resolver situaes imprevistas relacionadas ao(s) software(s)
crtico(s).
Retorno normalidade
Desinstalar o(s) software(s) utilizado(s) na ativao da contingncia;
Relatar as situaes imprevistas e as solues adotadas, visando
aprimorar o plano de contingncia.
135
Operao
Permanentes
Manter atualizado o esquema de operacionalizao dos programas de
pesquisa crticos do EQA;
Providenciar local livre de riscos e guardar as cpias de segurana dos
sistemas e aplicativos necessrios ao plano de contingncia;
Estabelecer procedimentos detalhados de operao para ser utilizado
durante o plano de contingncia;
Providenciar local alternativo para entrada dos dados, durante a
contingncia;
Desenvolver procedimentos alternativos para o caso de panes parciais do
servidor que atende os projetos de pesquisa;
Comunicar ao grupo responsvel pelo hardware, ocorrncia de pane que
possa configurar uma emergncia.
Operar o(s) sistema(s) crtico(s) da rea de pesquisa no equipamento
alternativo designado pelo Comit de Segurana;
Manter o esquema de cpia de segurana para os arquivos e sistemas que
esto funcionando em regime de contingncia.
Retorno normalidade
Operar a(s) rotina(s) introduzir os dados no sistema e que foram coletados
na forma alternativa.
Comunicaes
Permanentes
Manter atualizada e informar, aos grupos que participam do pano de
contingncia, a relao e caractersticas dos meios de comunicao
disponveis na instalao, identificando sua utilizao e usurios principais;
Instalar e manter atualizado(s) as caractersticas e configurao do(s)
equipamento(s) alternativo(s) comunicaes, que sero utilizados durante o
plano de contingncia;
Analisar e propor melhorias alternativas para os equipamentos de
comunicao que apresentarem falha ou fadiga;
Instalar e testar os equipamentos de comunicao alternativos que sero
utilizados no plano de contingncia.
Comunicar aos grupos que participam do plano de contingncia quaisquer
avarias nos equipamentos de comunicao que possam afetar as
pesquisas em desenvolvimento no EQA, fornecendo a previso para
correo do problema;
Efetuar os contatos com os fornecedores de peas e suprimentos para
garantir a reposio dos componentes ou equipamentos danificados.
Ativar os equipamentos de comunicao alternativos, nas reas mais
sensveis do EQA, visando no interromper completamente as
comunicaes;
Monitorar os equipamentos alternativos, para que as comunicaes no
sejam completamente interrompidas;
136
Retorno normalidade
Relacionar os equipamentos danificados e quais peas sero necessrias
repor;
Identificar e relatar situaes no previstas no plano de contingncia;
Microinformtica
Permanentes
Manter atualizada e informar, aos grupos que participam do plano de
contingncia, a relao dos equipamentos existentes e seus respectivos
usurios;
Comunicar aos grupos do plano de contingncia quaisquer avarias o mal
funcionamento dos equipamentos de comunicao.
Identificar e substituir os equipamentos de microinformtica que possam
prejudicar os projetos de pesquisa do EQA.
Retorno normalidade
Relatar ao Comit de Segurana os equipamentos que apresentaram pane
durante o plano de contingncia;
Tentar recuperar e por em produo, os equipamentos que apresentaram
pane.
4. Plano de ao
Controles a ser mantidos:
Equipamentos
Manter atualizado o inventrio dos equipamentos crticos que podem, em
caso de falha, prejudicar as atividades dirias do EQA;
Testar periodicamente os equipamentos alternativos que sero utilizados
em caso de falha dos equipamentos principais;
Softwares
Manter atualizado o inventrio dos softwares crticos, incluindo os principais
usurios;
Desenvolver e manter um esquema de atualizao peridica dos softwares
crticos alternativos.
Infraestrutura de apoio
Verificar periodicamente o local alternativo escolhido para continuar o
desenvolvimento das pesquisas do EQA;
Aplicativos
Manter atualizado o inventrio dos aplicativos crticos e seus respectivos
usurios.
Treinamento
Executar periodicamente o programa de simulaes peridicas para teste
de plano de contingncia;
Documentao
Desenvolver e manter esquema de atualizao das documentaes dos
softwares e sistemas crticos.
137
Procedimentos de retorno
Na tabela abaixo esto os procedimentos de retorno que devero ser
executados com relao aos principais eventos identificados no levantamento de
riscos, e que possibilitaro o retorno normalidade.
Evento:
Perda de informaes.
Descrio:
Ocorre quando a informao perdida, devido a destruio

indevida ou intencional, para provocar dano ao EQA.
Contingncia:
Usurio final: Comunica ao Coordenador da pesquisa o incidente;

Coordenador da pesquisa: Comunica o fato Comisso de
segurana;
Comit de segurana: Registra o incidente;
Comit de segurana: Avalia superficialmente a situao e
designa o tcnico que executar a recuperao;
Comit de segurana: Se o documento que ser recuperado for
magntico, restaurar o arquivo de backup. Se o documento a ser
recuperado no for magntico, consultar o(s) autor(es) para definir
a melhor maneira de reconstru-lo.
RTO:
6 horas.
RPO:
1 dia.
Evento:
Interrupo do acesso rede.
Descrio:
Ocorre quando o acesso rede (LAN ou WAN) est indisponvel,

devido falha na infraestrutura de cabeamento ou mal
funcionamento de equipamento de conexo da rede do EQA.
Contingncia:

segurana;
Comit de segurana: Dependendo da gravidade do incidente,
ser ativada uma das seguintes opes:
III Ponto de acesso sem fio;
IV Modem dial-up;
V Conexo Wi-Fi;
VI Ativar o protocolo HSRP (Hot Standby Router Protocol) nos
roteadores, para que sejam criadas rotas redundantes entre
os roteadores do EQA;
VII Ativar o protocolo Spanning Tree (STP) nos switches do
EQA, para solucionar eventuais casos de loop;
VIII
Trocar os path cords e cabos de distribuio por
cabos testados e certificados.
RTO:
30 minutos.
RPO:
N/A.
Evento:
Ataque de negao de servio de grande impacto.
138
Descrio:
Ocorre quando detectado um ataque de negao de servio

(DoS ou DDoS), destinado a interromper ou prejudicar pelo menos
um dos seguintes servios: DNS, HTTP, Web, Webmail, rede
wireless.
Contingncia:

segurana;
Comit de segurana: Identifica o atacante, atravs dos logs de
monitorao e o inclui na lista negra do firewall, para posterior
bloqueio.
RTO:
15 minutos.
RPO:
1 dia.
Evento:
Vandalismo contra equipamento do EQA.
Descrio:
Ocorre quando pessoa mal intencionada desliga ou danifica

equipamento do EQA (microcomputador, switch, impressora),
objetivando gerar prejuzo a determinada atividade de negcio.
Contingncia:

segurana;
a) No caso de desligamento, verificar como o fato ocorreu e, se
possvel, lig-lo novamente. Avaliar se houve perda de informao
e, caso necessrio, recuper-la atravs do backup.
b) No caso de dano a equipamento, verificar se h condio de
lig-lo novamente. Caso no seja possvel, utilizar outro
equipamento semelhante, remanejado de algum setor cuja
atividade possa ser interrompida, at que o equipamento
danificado seja recuperado ou substitudo.
RTO:
1 dia.
RPO:
1 dia.
Evento:
Impossibilidade de acesso ao conhecimento tcito.
Descrio:
Ocorre quando algum membro do EQA retm conhecimento tcito,

devido concentrao da informao, e o acesso a este
conhecimento fica indisponvel devido ausncia desta pessoa.
Contingncia:

segurana;
139

a) Excetuando o caso de falecimento, buscar estabelecer contato
com a pessoa que detm o conhecimento, atravs dos meios de
comunicao disponveis, tais como telefone (celular ou fixo),
correio eletrnico, telegrama, carta, ou atravs de pessoa de
contato.
b) No caso de falecimento, designar duas pessoas da equipe para
serem treinadas, atravs das informaes existentes e
desenvolvendo o prprio conhecimento tcito.
RTO:
1 dia.
RPO:
N/A.
Evento:
Falta de energia (blackout).
Descrio:
Ocorre quando h interrupo do fornecimento de energia eltrica

pela operadora local, independente do motivo.
Contingncia:

segurana;
Comit de segurana: O fornecimento de energia eltrica
alternativa pode ser originado de duas fontes, dependendo do
tempo de durao do evento.
A primeira fonte, que entrar em ao imediatamente, ser o
nobreak instalado ao equipamento de rede indispensvel
manuteno de servio ou atividade. Preferencialmente sero
utilizados nobreaks inteligentes, que possam ser monitorados pelo
equipamento ao qual este est ligado. Na falta da segunda fonte
de energia, o equipamento ser desligado normalmente, evitando
perda de dados.
A segunda fonte, que ser acionada momentos aps a primeira
entrar em ao, ser o gerador (movido a diesel, gs ou outro
combustvel), e fornecer energia aos setores do EQA que no
podem ter suas atividades interrompidas. Desta forma evitada a
paralisao no negcio e racionalizado o fornecimento de energia
eltrica.
RTO:
30 minutos.
RPO:
30 minutos.
Evento:
Desastre natural.
Descrio:
Ocorre quando um desastre natural, previsto ou no, interrompe

ou inviabiliza alguma atividade vital do EQA. Os principais
desastres naturais que podem ocorrer so: inundao, granizo,
furao, tornado, terremoto.
140
Contingncia:

segurana;
Comit de segurana: Transferir os processos de pesquisa do
EQA para local alternativo, conforme o caso:
a) servios de rede sero transferidos para outros equipamentos,
provisoriamente;
b) acesso a documentos digitais sero transferidos para outros
servidores, atravs da restaurao de arquivos de backup;
c) atividades administrativas, acadmicas ou de pesquisa sero
transferidas para local alternativo.
RTO:
1 dia.
RPO:
1 dia.
Evento:
Sinistro ocasionado pelo fogo.
Descrio:
Ocorre quando instalaes ou equipamentos so danificados ou

destrudos por incndio, independente de ser acidental ou
intencional.
Contingncia:

segurana;
Comit de segurana: Comunica o incidente Brigada de
incndio, que acionar os procedimentos especficos de combate
a incndio;
Comit de segurana: O processo de negcio afetado pelo
incndio ser transferido para outro equipamento ou local.
Comit de segurana: Recupera as informaes necessrias para
o funcionamento do processo de negcio, atravs da restaurao
de arquivos de backup.
RTO:
1 minuto.
RPO:
1 dia.
Evento:
Furto de informao.
Descrio:
Ocorre quando uma informao sensvel furtada, independente

se o acesso fsico ou lgico.
Contingncia:
Se houve subtrao da informao, esta ser restaurada atravs

do arquivo de backup.
RTO:
6 horas.
RPO:
1 dia.
Evento:
Indisponibilidade de suporte tcnico.
Descrio:
Ocorre quando h indisponibilidade de tcnicos para prestar

suporte a equipamentos e servios de informtica, devido a alta
141
rotatividade da equipe de TI.

Contingncia:
Os servios de manuteno devero ser priorizados, levando-se

em considerao a relevncia e a urgncia do servio. Desta
forma o atendimento prestado pelo suporte tcnico ser otimizado
e os servios vitais preservados.
RTO:
1 hora.
RPO:
1 hora.
Evento:
Apropriao indevida da informao.
Descrio:
Ocorre quando pessoa mal intencionada se apropria de

informao sensvel ou vital para o EQA, caracterizando
principalmente espionagem industrial, independente se a
informao subtrada ou o acesso fsico ou lgico.
Contingncia:
Se houve subtrao da informao, esta ser restaurada atravs

do arquivo de backup.
RTO:
6 horas.
RPO:
1 dia.
Evento:
Senha fraca utilizada em equipamento servidor.
Descrio:
Ocorre quando verificada a utilizao de senha de fcil

descoberta em equipamento servidor.
Contingncia:
Trocar a senha, utilizando regra de construo de senha forte.
RTO:
1 hora.
RPO:
N/A.
Evento:
Instalao no autorizada de ativos de rede.
Descrio:
Ocorre quando detectada instalao no autorizada de ativo de

rede (switch, hub ou ponto de acesso wireless).
Contingncia:
No h necessidade de procedimento de contingncia, uma vez

que nenhum processo de negcio ser interrompido. Entretanto, a
instalao ser desfeita e o ativo de rede confiscado.
RTO:
N/A.
RPO:
N/A.
142
5. Operacionalizao do Plano
Manuais de Contingncia
a) Quem mantm e atualiza:
Secretariado das pesquisas (Apndice IV);
Equipe de TI (NDA e NPD) (Apndice IV).

b) Quem recebe cpias parciais/totais:
Coordenadores das pesquisas (Apndice IV);
Secretariado das pesquisas (Apndice IV);
Equipe de TI (Apndice IV).

c) Periodicidade de atualizao
Este Plano de Contingncia ser atualizado pelos grupos envolvidos a

cada seis meses e revisado a cada ano.
d) Fontes de informao
WEB
Normas da ABNT
Manuais
Artigos/Paper
Descrio dos equipamentos
CPUs
Storage
Ativos de rede
e) Descrio dos softwares necessrios
Sistemas operacionais:
Ubuntu
Brlix
Aplicativos
Microsoft Office
Broffice
Matlab
Adobe acrobat
Matemtica
Estatstica
f) Descrio dos aplicativos necessrios
CFX
Autocad
Pro-engineer
Relao de Pessoal
A relao de todas as pessoas envolvidas neste Plano de Contingncia pode ser
encontrada nos seguintes documentos, que integram este Plano de Contingncia:
Apndice IV: Relao de responsveis por reas;
143
Apndice V: Relao dos Fornecedores.
Relao dos equipamentos e softwares

b) Hardware do CPD central
Tipo: CPU DELL
Funo: Servidor de autenticao CFX (Aplicativo)
Modelo: Dell Enterprise
Srie 768952-yxk
Descrio: Processador quadcore 2.8 GHZ
Capacidade do disco rgido: 500GB
Capacidade de memria RAM: 8GB
Consumo de energia: 1000 watts/hora
Consumo ar-condicionado: 0,5 BTUs/hora
Quantidade: 02
rea necessria: 10 m
Data de instalao: jan/09
Atualizao tcnica efetuada.
c) Equipamentos e rede de teleprocessamento
Roteadores Cisco
Switch de camada 3
Switch de camada 2
Modems Telex
Conexo Internet da Pop-SC
Sistema VOIP da RNP (Rede Nacional de Pesquisa)
d) Equipamentos auxiliares
Energia eltrica
no-break e banco de baterias
Ar-condicionado
Central e individual tipo split
Extino de incndio
Por padro so adotados extintores portteis
Iluminao de emergncia
Iluminao de emergncia alimentada pelo banco de baterias
e) Software
Software bsico:
Ubuntu 9.04;
Windows XP SP3;
BRlix 1.2;
Open Suse 9.12;
Software de apoio
Microsoft Office;
BrOffice.org;
OpenOffice;
Adobe Acrobat,
CFX;
144
Pro-engineer
Software de comunicao
Browsers (IE8.0, Firefox 3.0, Opera 10);
software fone (x-lite);
SMS messenger
f) Microcomputadores
CPU padro desktop:
Processador: AMD ou Intel 1,5 a 2 Ghz;
Memria RAM: 512 Mb;
Disco rgido: 100 Mb;
Sistema operacional: Windows XP ou Ubuntu;
Aplicativos: MS Office ou BrOffice.org, Statistica;
Todos com conexo a internet.
CPU padro Servidor:
Processador: Intel 2 a 3 Ghz;
Memria RAM: de 2 a 4 Gb;
Disco rgido: de 500 Gb a 1 Tb;
Sistema operacional: Windows Server ou Distribuio Linux Server 64
bits;
Aplicativos: Especficos ao servio, por exemplo o aplicativo CFX,
Autocad etc.;
Todos com conexo internet
6. Relao de pessoal de informtica
Consulte o Apndice IV.
7. Relao de pessoal de apoio tcnico
Consulte o Apndice IV.
8. Relao de fornecedores
Consulte o Apndice V.
9. Relao de aplicativos
Sistemas Operacionais:
Ubuntu 9.04;
Windows XP SP3;
BRlix 1.2;
OpenSuse 9.12
Aplicativos:
Microsoft Office;
BrOffice.org;
OpenOffice;
Adobe Acrobat;
CFX;
145
Pro-engineer;
Software de comunicao:
Browsers (Internet Explorer 8.0, Firefox 3.0, Opera 10);
software fone (x-lite);
SMS Messenger.
10. Apndices
Apndice IV: Relao de responsveis por reas de atuao;

Apndice V: Relao de fornecedores.
11. Referncias Bibliogrficas

CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e
de informaes. 3 edio, So Paulo: Editora SENAC So Paulo, 2006.
12. Equipe de desenvolvimento do Plano de Contingncia

Rossano Cancelier
146
Apndice IV - Relao de responsveis por reas
Nome
Telefone
convencional
Telefone
residencial
Telefone
residencial
e-mail
Cargo
Lotao/Curso/Pesquisa
Coordenadores dos
cursos
CPGENQ/CPGEA
Coordenadores de
pesquisa
Supervisor NDA
Secretria do grupo de
pesquisas LCP/EQA Laboratrio de controle
de processos
Supervisor NPD
Data ltima atualizao:
Equipe de apoio tcnico
147
Apndice V - Relao de fornecedores

Nome
Contato
Data ltima atualizao:
Telefone
convencional
Telefone
residencial
e-mail
Objeto fornecido
Usurio
148
ANEXOS
149
Anexo I Ofcio do SENAC solicitando autorizao para pesquisar o EQA
150
Anexo II - Portaria 337/GR/2007
UNIVERSIDADE FEDERAL DE SANTA CATARINA

GABINETE DO REITOR
PORTARIAS
Florianpolis, 13 de abril de 2007. PORTARIA N 337/GR/2007.
A Pr-Reitora de Pesquisa da Universidade Federal de Santa Catarina, no

exerccio da Reitoria, no uso de suas atribuies estatutrias e regimentais,
tendo em vista o disposto no art. 16 da Lei n 10.9 73/2004, que estabelece
medidas de incentivo inovao e pesquisa cientfica e tecnolgica no
ambiente produtivo com vistas capacitao e ao alcance da autonomia
tecnolgica e ao desenvolvimento industrial do Pas, nos termos dos artigos
218 e 219 da Constituio Federal, e no art. 29 do Decreto n 5.563/2005, que
a regulamenta,
RESOLVE:
Art. 1 Criar o Ncleo de Inovao Tecnolgica (NIT) da Universidade Federal

de Santa Catarina como instrumento de coordenao das medidas de
incentivo inovao e pesquisa cientfica e tecnolgica para o ambiente
produtivo, das atividades relacionadas criao, adaptao, absoro e
transferncia de tecnologia e propriedade intelectual.
Pargrafo nico. O Ncleo de Inovao Tecnolgica ficar
subordinado administrativamente Pr-Reitoria de Pesquisa.
Art. 2 Compete ao Ncleo de Inovao Tecnolgica, na medida do
interesse da Universidade:
I
- zelar pela manuteno da poltica institucional de estmulo
proteo das criaes, inovao, ao licenciamento e outras formas de
transferncia de tecno10gia;
II
- avaliar e classificar os resultados decorrentes de atividades e
projetos de pesquisa para o atendimento das disposies da lei de incentivo
inovao e pesquisa cientfica e tecnolgica no ambiente produtivo;
IX
- avaliar os pedidos de adoo de inveno, apresentados por
inventor independente;
151
X
- opinar pela convenincia e promover a proteo das criaes
desenvolvidas no mbito da Universidade;
V
- opinar quanto convenincia de divulgao das criaes
desenvolvidas no mbito da Universidade, passveis de proteo intelectual;
VI - acompanhar o processamento dos pedidos e a manuteno dos
ttulos de propriedade intelectual da Universidade;
VII - identificar e incentivar, no ambiente produtivo, oportunidades de
realizao de projetos de inovao que podero ser executados em conjunto
com a Universidade;
VIII - opinar quanto celebrao de contratos e convnios envolvendo a
inovao e a pesquisa cientfica e tecnolgica e que incluam clusulas de
propriedade intelectual e de segredo;
IX - divulgar amplamente os resultados obtidos com os projetos de inovao
desenvolvidos no mbito da Universidade, resguardando o dever de segredo
previsto em contratos ou convnios firmados;
X - estabelecer o seu Regimento Interno, a ser aprovado pelo Pr-Reitor de
Pesquisa.
Art. 3 A direo do Ncleo de Inovao Tecnolgica ser exercida,
cumulativamente, pelo Diretor do Departamento de Propriedade Intelectual ou
pelo Diretor do Departamento de Projetos, indicado pelo Pr-Reitor de
Pesquisa e designado pelo Reitor.
Art. 4 O Diretor ser responsvel pela superviso de todas as atividades do
Ncleo de Inovao Tecnolgica.
Art.5 O Ncleo de Inovao Tecnolgica poder usar a marca ou a
designao de UFSC INOVAR.
Art. 6 Fica criado o Comit Consultor Ad Hoc para manifestar-se sobre
projetos, propriedade intelectual, transferncia de tecnologia e incentivo
inovao da Universidade.
1 Os consultores Ad Hoc sero indicados pelo Diretor do Ncleo de
Inovao Tecnolgica e designados pelo Pr-Reitor de Pesquisa.
2 As funes de membro do Comit Consultor Ad Hoc sero consideradas
misso de servio relevante.
Art. 7 Esta portaria normativa entrar em vigor na data da sua publicao no
Boletim Oficial da Universidade.
Prof. Thereza Christina Monteiro de Lima Nogueira

Fonte: (www.propesquisa.ufsc.br/arquivos/Portaria_337_GR_2007.pdf)
152
Anexo III - Termos de Confidencialidade (Mestrandos e Doutorandos)

TERMO DE CONFIDENCIALIDADE
DEFESA DE [DISSERTAO ou TESE] DO PROGRAMA DE [MESTRADO ou
DOUTORADO]
[NOME DO CURSO]
[Dissertao do mestrando ou Tese do doutorando]: [NOME POR EXTENSO]
Patente UFSC [a ser requerida ou j requerida]
Ttulo: ----- [ou outro a ser definido].
Os signatrios declaram estar ciente de que a UFSC detentora de conhecimentos,
informaes e dados confidenciais, utilizveis na indstria, comrcio ou prestao de
servios que so ou podero ser objeto de proteo por direitos de propriedade intelectual
especialmente o contedo da dissertao referida em epgrafe.
CONSIDERANDO que os membros da banca, docentes, pesquisadores, tcnicos e
estudantes que firmaram este documento tiveram acesso parcial ou total a dissertao e/ou
assistiram a sua defesa.
CONSIDERANDO o que dispe a Resoluo n. 14 do Conselho Universitrio da UFSC,
25/6/2002, que os signatrios declaram ter conhecimento.
CONSIDERANDO que a Lei n 9.279, 14/5/1996, que regula direitos e obrigaes relativos
propriedade industrial, art. 195, XI e XII, estabelece que comete crime de concorrncia
desleal quem divulga, explora ou utiliza-se, sem autorizao, de conhecimentos,
informaes ou dados confidenciais, utilizveis na indstria, comrcio ou prestao de
servios, excludos aqueles que sejam de conhecimento pblico ou que sejam evidentes
para um tcnico no assunto, a que teve acesso mediante relao contratual ou
empregatcia, mesmo aps o trmino do contrato; tambm quem divulga, explora ou utilizase, sem autorizao, de conhecimentos ou informaes a que se refere o item anterior,
obtidos por meios ilcitos ou a que teve acesso mediante fraude; prevendo aplicao de
pena de deteno de trs meses a um ano ou multa para o infrator.
CONSIDERANDO que a legislao penal e da propriedade intelectual prev outros delitos
que podem ser considerados crimes e que se aplicam tambm sanes civis de carter
indenizatrias e administrativas, sem prejuzo das penas criminais cabveis.
CONSIDERANDO que tenho o dever de informar UFSC sobre qualquer determinao
judicial para dar testemunho sobre conhecimentos, informaes ou dados a que tiver acesso
direto ou indireto na gerao de conhecimento mencionado no incio.
DECLARAMOS que nos responsabilizamos pela manuteno da confidencialidade dos
conhecimentos, informaes e dados a que tivemos acesso, e que no os utilizaremos,
individual ou coletivamente, total ou parcialmente, em benefcio prprio ou de terceiros.
DECLARAMOS o pleno conhecimento das sanes previstas em lei relacionadas
propriedade intelectual no caso de revelar ou usar os conhecimentos, informaes e dados,
sem a previa autorizao por escrito do representante legal da UFSC.
Florianpolis, UFSC, __ de __________ de 200_.
[nome completo CPF assinatura]
[assinam todos os membros da banca, suplentes e que assistir]
Fonte: (http://www.dit.ufsc.br/index.php?option=com_docman&Itemid=89)
153
Anexo IV - Termo de Confidencialidade (Pesquisadores)

LABORATRIO DE [nome do laboratrio]
Eu, [nome completo], [solteiro/ casado/ separado], [empregado/ servidor docente,
pesquisador, tcnico/ estudante/ prestador de servio/ avaliador/ auditor ou fiscal], [setor da
UFSC], cdula de identidade n ....., expedida no d ia .../.../..., em [local], CPF n .......,
residente na [rua/ avenida, n, apto, bloco, bairro , CEP, cidade, estado], a seguir
signatrio, declaro:
Estou ciente de que so e sero tratados como confidenciais os dados, informaes

e conhecimentos aportados para a execuo de projetos, os resultados gerados na
execuo de projetos, durante e aps a sua vigncia, bem como todos os assuntos
relacionados pesquisa realizada no Laboratrio [nome do laboratrio], a seguir
[sigla do laboratrio].
Ser considerado, sem limitar-se ao conceito aqui expresso:
DADO: o elemento ou quantidade que servir de base resoluo de um problema; os
nmeros de uma amostra que tm as caractersticas definidas por um subconjunto do
domnio de uma varivel aleatria ou no; resultados de exames, testes, ensaios;
INFORMAO: o conjunto de dados logicamente concatenados para esclarecimentos
acerca de procedimento para utilizao do conhecimento;
CONHECIMENTO: o saber cientfico ou tecnolgico, domnio terico e/ou prtico, porm
referido especificamente ao Projeto;
TECNOLGICO: o conjunto de instrumentos, mtodos e processos especficos; o estudo
sistemtico das matrias-primas e dos procedimentos e equipamentos tcnicos necessrios
para a transformao das matrias-primas em produto industrial;
PROJETO: o conjunto de atividades visando gerar conhecimento ou informao ou dado,
cujo resultado esperado um produto ou processo novo para aplicar na indstria; poder
ser uma inovao; por isso confidencial.
1. A confidencialidade implica na obrigao de no divulgar ou repassar dados,
informaes e conhecimentos a terceiros no-envolvidos no [sigla do laboratrio], sem
autorizao expressa, por escrito, do coordenador do Laboratrio, Prof. Dr. [nome
completo], pelo perodo de 10 (dez) anos, ficando sujeito s sanes das Leis 9.279/96, art.
195, e 9.609/98, art. 12. Na UFSC o Departamento de Inovao Tecnolgica o rgo
competente para dar a autorizao para divulgao na ausncia ou impedimento do
Coordenador do [sigla do laboratrio].
2. No sero tratados como confidenciais os dados, informaes e conhecimentos nos
limites para o cumprimento dos seguintes atos:
1) quando se tornarem de conhecimento geral pela publicao de pedido de patente ou
registro pblico ou de outra forma que no por meio do signatrio;
2) aqueles cuja divulgao se torne necessria:
2.1) para obteno de autorizao governamental para comercializao dos resultados de
projeto;
2.2) quando exigida por lei ou quando necessria ao cumprimento de determinao judicial
e/ou governamental;
2.3) nos casos previstos nos itens 2.1 [sigla do laboratrio] e o Departamento de
Inovao Tecnolgica e requerer segredo no seu trato judicial e/ou administrativo.
3. Quando algum resultado de projeto do [sigla do laboratrio], ao amparo deste termo,
for objeto de tese, dissertao, monografia, trabalho de concluso de curso, artigo, folheto
ou relatrio, com o objetivo de evitar a quebra de sigilo, o signatrio dever solicitar ao
154
Coordenador do [sigla do laboratrio] e do Departamento de Inovao Tecnolgica da

UFSC autorizao para a divulgao ou publicao.
1) A solicitao ser feita com trinta (30) dias de antecedncia e dever ser respondida no
mesmo prazo.
2) Excepcionalmente, poder haver defesa perante banca ou acesso aos documentos de
projeto, mediante assinatura de termo de sigilo, sempre que autorizado pelo Coordenador
do [sigla do laboratrio] e do Departamento de Inovao Tecnolgica da UFSC.
4. O signatrio est ciente de que, somente depois da publicao oficial do rgo
competente de patente, de registro ou de outra proteo legal da propriedade intelectual,
poder publicar ou divulgado resultado de projeto, no excedendo a descrio constante
dos referidos documentos.
5. Qualquer exceo confidencialidade prevista neste termo, somente ser possvel
com a anuncia prvia do Coordenador do [sigla do laboratrio] e autorizao do
Departamento de Inovao Tecnolgica da UFSC.
6. O signatrio declara conhecer a Resoluo n 014/CUn/UFSC, de 25 de junho de
2002, e que ou ser propriedade da UFSC a criao intelectual desenvolvida no seu
mbito; bem como, ter direito a participao nos ganhos econmicos resultantes da
explorao da criao intelectual protegida na proporo fixada no projeto ou de acordo com
a contribuio individual para o xito da criao conjunta nos termos da Resoluo. Inclusive
aqueles que forem objeto de pedido de proteo da propriedade intelectual (patente,
registros, certificado) relacionado ao projeto ou atividades do [sigla do laboratrio] at um
ano aps o meu desligamento da UFSC.
7. Qualquer demanda que envolver a UFSC ser apreciada pelo foro privilegiado da
Seo Judiciria de Florianpolis da Justia Federal do Estado de Santa Catarina
Assim, por considerar vlida e eficaz a obrigao unilateral aqui expressa, assino perante as
testemunhas abaixo, o presente instrumento, em duas vias de igual teor e forma, uma para
a UFSC e outra para mim, para que produza os efeitos legais.
Florianpolis, UFSC, __ de ______________ de 200_.
[nome completo CPF assinatura]
Testemunhas/Assinatura:
Nome: __________________________
CPF: ___________________________
Nome: __________________________
CPF: ___________________________
Fonte: (http://www.dit.ufsc.br/index.php?option=com_docman&Itemid=89)
155
Anexo V - Dispositivos legais de carter Federal

Dispositivo
Constituio
Federal, art. 5,
inciso X.
Mandamento Legal
Direito privacidade.
Constituio
Federal, art.
inciso XII.
Constituio
Federal, art.
inciso XIV.
Direito privacidade
comunicaes.
5,
5,
Constituio
Federal, art. 5,
inciso XXXIII e art.
37, 3, inciso II.
Constituio
Federal, art. 5,
inciso XXXIV.
Constituio
Federal, art. 23,
incisos III e IV.
das
Resguardo
do
sigilo
profissional em caso de ofcio
que
exige
a
ampla
confidncia no interesse de
quem
confidencia,
como
advogados, padres, mdicos,
psiclogos, etc.
Direito informao e ao
acesso
aos
registros
pblicos.
Direito de petio e de
obteno de certides em
reparties pblicas.
Dever do Estado de proteger
os documentos e obras.
Constituio
Federal, art. 216,
2.
Obrigao da Administrao
Pblica de promover a gesto
documental.
Constituio
Federal, art.
caput.
Vinculao da Administrao
Pblica aos princpios da
legalidade, impessoalidade,
moralidade, publicidade e
eficincia.
37,
Constituio
Federal, art. 37,
6 e Cdigo Civil,
art. 43.
Responsabilidade objetiva do
Estado e das pessoas de
direito privado prestadoras de
servios pblicos pelos danos
causados
a
terceiros,
assegurado o direito de
Aspecto da SI
Sigilo das informaes
relacionadas intimidade
ou vida privada de
algum.
Sigilo
dos
dados
telemticos
e
das
comunicaes privadas.
relacionadas intimidade
ou vida privada de
algum.
Disponibilidade
das
informaes constantes
nos rgos pblicos.
Disponibilidade
das
nos rgos pblicos.
Proteo da integridade,
da autenticidade e da
disponibilidade
das
informaes pelo Estado.
Proteo da integridade,
da
autenticidade,
da
disponibilidade e do sigilo
das
informaes
constantes nos rgos e
entidades integrantes da
Administrao Pblica.
Quanto melhor a gesto
das informaes, mais
eficiente ser o rgo ou
entidade,
da
a
necessidade
de
implantao
de
uma
Poltica de Segurana da
Informao.
Responsabilidade
objetiva do Estado por
dano decorrente da m
gesto das informaes
pelos rgos e entidades
da Administrao Pblica
156
Dispositivo
Constituio
Federal, art. 37,
7.
Consolidao das
Leis do Trabalho
CLT,
art.
482,
alnea g.
Mandamento Legal
regresso
contra
o
responsvel nos casos de
dolo ou culpa.
Lei
dispor
sobre
os
requisitos e as restries ao
ocupante de
cargo
ou
emprego da administrao
direta
e
indireta
que
possibilite
o
acesso
a
informaes privilegiadas.
Resciso de contrato de
trabalho de empregado que
viola segredo da empresa.
Cdigo de Conduta
da
Alta
Administrao, art.
5, 4.
Carter
sigiloso
das
informaes pertinentes
situao
patrimonial
da
autoridade pblica.
Cdigo de Conduta
da
Alta
Administrao,
art.14, inciso II.
Proibio
da
autoridade
pblica de prestar consultoria
valendo-se de informaes
no divulgadas publicamente
a respeito de programas ou
polticas do rgo ou da
entidade da Administrao
Pblica Federal a que esteve
vinculado ou com que tenha
tido relacionamento direto e
relevante nos seis meses
anteriores ao trmino do
exerccio de funo pblica.
Proibio de alterao de
documentos que devam ser
encaminhados
para
providncias.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
alnea h do inciso
XV da Seo II.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
alnea l do inciso
XV da Seo II.
Proibio de retirar
repartio documento
qualquer outro bem.
da
ou
Aspecto da SI
e pessoas de direito
privado prestadoras de
servios pblicos.
Necessidade
de
regulamentao
do
acesso a informaes
privilegiadas.
Proteo
das
informaes
sigilosas
acessadas no exerccio
de
emprego
pblico
(empresas pblicas e
sociedades de economia
mista).
fiscais e tributrias das
autoridades
pblicas
(sigilo perante terceiros e
no
em
face
da
Administrao Pblica)..
Proteo
das
informaes privilegiadas
produzidas ou acessadas
no exerccio de cargo ou
funo pblica.
Proteo da integridade
das informaes pblicas.
Proteo
da
disponibilidade
das
informaes pblicas.
157
Dispositivo
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
inciso X da Seo
I.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
inciso VII da Seo
I.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
inciso IX da Seo
I.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
alnea e do inciso
XIV da Seo II.
Cdigo
de
Propriedade
Industrial, art. 75.
Cdigo de Defesa
do
Consumidor,
arts. 43 e 44.
Cdigo Penal, art.

151.
Mandamento Legal
Deixar o servidor pblico ou
qualquer pessoa espera de
soluo que compete ao
setor em que exera suas
funes,
permitindo
a
formao de longas filas, ou
qualquer outra espcie de
atraso na prestao do
servio,
no
caracteriza
apenas atitude contra a tica
ou ato de desumanidade,
mas principalmente grave
dano moral aos usurios dos
servios pblicos.
Obrigao moral de conferir
publicidade
aos
atos
administrativos,
salvo
os
sigilosos.
Causar dano a qualquer bem

pertencente ao patrimnio
pblico, deteriorando-o, por
descuido ou m vontade, no
constitui apenas uma ofensa
ao
equipamento
e
s
instalaes ou ao Estado,
mas a todos os cidados.
Dever de aperfeioar o
processo de comunicao
com os usurios para bem
servi-los.
O
pedido
de
patente
originrio do Brasil cujo
objeto interesse defesa
nacional ser processado em
carter sigiloso.
Direito
de
acesso
do
consumidor
s
suas
informaes
pessoais
arquivadas em bancos de
dados e direito de retificao
das informaes incorretas.
Pena de deteno de um a
seis meses ou multa por
crime
de
violao
de
Aspecto da SI
Proteo
da
disponibilidade
das
informaes pblicas.
Proteo
da
disponibilidade
das
informaes pblicas e
garantia da publicidade
das
informaes
de
interesse da coletividade.
do patrimnio pblico, a
exemplo
de
equipamentos, materiais,
reas e instalaes.
Disponibilidade
comunicaes.
das
Sigilo das patentes de

interesse
da
defesa
nacional.
Garantia da integridade e
disponibilidade
das
informaes
dos
consumidores arquivadas
em bancos de dados.
Proteo
do
integridade
disponibilidade
sigilo,
e
das
158
Dispositivo
Cdigo Penal, art.

152.
Cdigo Penal, art.

153.
Cdigo Penal, art.

154.
Cdigo Penal, art.

184, 3.
Cdigo Penal, art.

297.
Cdigo Penal, art.

298.
Cdigo Penal, art.

305.
Cdigo Penal, art.

307.
Mandamento Legal
correspondncia
fechada
dirigida a outrem, sonegao
ou
destruio
de
correspondncia, e violao
de comunicao telegrfica,
radioeltrica ou telefnica.
Pena de deteno de trs
meses a dois anos pelo crime
de
desvio,
sonegao,
subtrao, supresso ou
revelao de contedo de
correspondncia comercial,
abusando da condio de
scio ou empregado.
Pena de 1 a 4 anos e multa
por crime de divulgao de
documento
confidencial
contido ou no nos sistemas
ou bancos de dados da
Administrao Pblica.
Pena de trs meses a um
ano, ou multa por crime de
violao
de
segredo
profissional.
Pena de dois a quatro anos
por crime de violao de
direito autoral mediante cabo,
fibra tica, satlite, ondas ou
qualquer outro sistema.
Pena de dois a seis anos, e
multa
por
crime
de
falsificao de documento
pblico.
Pena de um a cinco anos, e
multa
por
crime
de
falsificao de documento
particular.
por crime de supresso,
destruio ou ocultao de
documento
pblico
ou
particular.
Pena de trs meses a um
ano, ou multa por crime de
falsa identidade.
Aspecto da SI
informaes de carter
pessoal
veiculadas
atravs dos meios de
comunicao.
Proteo do sigilo e da
disponibilidade
das
informaes
dos
estabelecimentos
comerciais.
Proteo do sigilo das

informaes classificadas
constantes nos sistemas
ou bancos de dados da
Administrao Pblica.
Proteo do sigilo das
informaes conhecidas
em razo de funo,
ministrio,
ofcio
ou
profisso.
Proteo
da
autenticidade.
Proteo da integridade e
autenticidade
dos
documentos pblicos.
autenticidade
dos
documentos particulares.
Proteo
da
disponibilidade
e
integridade
das
nos rgos e entidades
pblicos.
Proteo
da
autenticidade.
159
Dispositivo
Cdigo Penal, art.
313-A.
Cdigo Penal, art.

313-B.
Cdigo Penal, art.

314.
Cdigo Penal, art.

325.
Cdigo Processo
Penal, art. 20.
Cdigo Processo
Penal, art. 207.
Cdigo Processo
Penal, art. 745.
Cdigo Tributrio
Nacional, art. 198.
Cdigo
de
Processo Civil, art.
Mandamento Legal
por crime de insero de
dados falsos em sistema
informatizado ou banco de
dados
da
Administrao
Pblica,
alterao
ou
excluso de dados corretos.
Pena de 3 meses a 2 anos e
multa
por
crime
de
modificao ou alterao no
autorizada de sistemas de
informaes.
Pena de um a quatro anos
por
crime
de
extravio,
sonegao ou inutilizao de
livro ou documento de que
tem a guarda em razo do
cargo.
Pena de seis meses a dois
anos, ou multa por crime de
violao de sigilo funcional.
Sigilo do inqurito policial

Proibio de depor das
pessoas que, em razo de
funo, ministrio, ofcio ou
profisso, devam guardar
segredo,
salvo
se,
desobrigadas
pela
parte
interessada, quiserem dar o
seu testemunho.
Sigilo
do
processo
de
reabilitao do condenado.
Proibio de divulgao, por
parte da Fazenda Pblica ou
de seus servidores, de
informao obtida em razo
do ofcio sobre a situao
econmica ou financeira do
sujeito
passivo
ou
de
terceiros e sobre a natureza e
o estado de seus negcios ou
atividades.
Direito da parte de guardar
sigilo profissional.
Aspecto da SI
disponibilidade
das
pblicos.
disponibilidade
das
pblicos.
Proteo
da
disponibilidade
das
pblicos.
Proteo
das
informaes
sigilosas
de cargo, funo ou
emprego pblico.
Proteo de informaes
sigilosas.
Proteo
do
sigilo
profissional.
Proteo de informaes
sigilosas relacionadas ao
condenado.
Proteo do sigilo fiscal.
Proteo da privacidade
de seus clientes.
160
Dispositivo
347, inciso II c/c
art.363, inciso IV.
Cdigo
de
Processo Civil, art.
406, inciso II c/c
art.414, 2.
Lei n 6.538/78,
art. 41.
Lei n
art. 13.
7.170/83,
Lei n 7.232/84,
art. 2o, inciso VIII.
Lei n
art. 18.
7.492/86,
Lei n 8.027/90,
artigo 5, inciso I.
Lei n 8.027/90,
artigo 5, pargrafo
nico, inciso V.
Lei n 8.112/90,
art. 116, inciso VIII.
Mandamento Legal
Aspecto da SI
Direito da testemunha de
guardar sigilo profissional.
de seus clientes.
Pena de deteno de trs

meses a um ano, ou multa
por
violao
de
sigilo
profissional por funcionrio
do servio postal.
Pena de trs a quinze anos
por crime espionagem ou
divulgao de informaes
sigilosas a grupo estrangeiro,
ou a organizao ou grupo de
existncia ilegal.
Exigncia de mecanismos e
instrumentos
legais
e
tcnicos para a proteo do
sigilo
dos
dados
informatizados armazenados,
processados e veiculados, do
interesse da privacidade e de
segurana
das
pessoas
fsicas e jurdicas, privadas e
pblicas.
Pena de recluso de 1 a 4
anos e multa por crime de
violao de sigilo bancrio.
de correspondncia.
Pena de demisso para o

servidor que se valer ou
permitir dolosamente que
terceiros tirem proveito de
informao obtida em funo
do
cargo,
para
lograr,
proveito pessoal ou de
outrem.
servidor que revelar segredo
de que teve conhecimento
em funo do cargo ou
emprego.
Dever do servidor de guardar
sigilo sobre assunto da
Proteo
das
informaes
sigilosas
relacionadas segurana
nacional
Sigilo
dos
dados
relacionados
intimidade, vida privada e

honra, especialmente dos
dados
armazenados
atravs
de
recursos
informticos.
Proteo
das
informaes sigilosas no
mbito das instituies
financeiras ou integrantes
do sistema de distribuio
de ttulos mobilirios.
Proteo
das
informaes privilegiadas
produzidas ou acessadas
no exerccio de cargo ou
funo pblica.
Proteo
das
informaes
sigilosas
de cargo, funo ou
emprego pblico.
produzidas
ou
161
Dispositivo
Lei n 8.112/90,
art. 132, inciso IX.
Lei n 8.137/90,
art. 3, inciso I.
Lei n 8.429/92,
art.11, incisos III,
IV e VII..
Lei n
art. 13.
8.429/92,
Lei
8.443/92,
Mandamento Legal
repartio.

servidor que revelar segredo
do qual se apropriou em
razo do cargo ou funo
pblica.
Constitui crime funcional
contra a ordem tributria
punido com pena de 3 a 8
anos e multa extraviar livro
oficial, processo fiscal ou
qualquer documento, de que
tenha a guarda em razo da
funo;
soneg-lo,
ou
inutiliz-lo,
total
ou
parcialmente,
acarretando
pagamento
indevido
ou
inexato
de
tributo
ou
contribuio social.
Constitui ato de improbidade
administrativa revelar fato ou
circunstncia de que tem
cincia
em
razo
das
atribuies e que deva
permanecer em segredo;
negar publicidade aos atos
oficiais; e revelar ou permitir
que chegue ao conhecimento
de
terceiro,
antes
da
respectiva divulgao oficial,
teor de medida poltica ou
econmica capaz de afetar o
preo de mercadoria, bem ou
servio.
Dever do agente pblico de
apresentar anualmente sua
declarao de bens e valores
que
integram
o
seu
patrimnio pessoal a fim de
ser arquivada no servio de
pessoal competente e pena
de demisso para o servidor
que se recusar a prestar tal
informao ou que a prestar
falsa.
Dever do servidor que exerce
Aspecto da SI
conhecidas no exerccio
de cargo ou funo
pblica.
Proteo
das
informaes
sigilosas
de cargo ou funo
pblica.
Proteo
da
disponibilidade
de
informaes
para
manuteno da ordem
tributria.
Proteo
das
informaes
sigilosas
de cargo, funo ou
emprego pblico, bem
como
garantia
de
publicidade
das
informaes de interesse
coletivo ou geral que
devem ser divulgadas por
ato oficial.
Disponibilidade
informaes pessoais
agente pblico para
Poder
Pblico
veracidade dos dados.
Proteo
de
do
o
e
das
162
Dispositivo
art. 86, inciso IV.
Lei Complementar
n 75/93, art. 8
incisos II e VIII,
1 e 2.
Lei n 8.625/93,
art. 26, inciso I,
alnea b e inciso II.
Lei n 8.906/94,
art. 7, inciso XIX.
Lei n 9.100/95,
art. 67, incisos VII
e VIII.
Mandamento Legal
funes
especficas
de
controle externo no TCU de
guardar sigilo sobre dados e
informaes
obtidos
em
decorrncia do exerccio de
suas funes e pertinentes
aos
assuntos
sob sua
fiscalizao,
utilizando-os,
exclusivamente,
para
a
elaborao de pareceres e
relatrios destinados chefia
imediata.
Competncia do Ministrio
Pblico da Unio para
requisitar
informaes,
exames,
percias
e
documentos de autoridades
da Administrao Pblica
direta ou indireta e ter acesso
incondicional
a
qualquer
banco de dados de carter
pblico ou relativo a servio
de relevncia pblica, bem
como a responsabilizao
pelo uso dessas informaes.
Competncia do Ministrio
Pblico
de
requisitar
informaes,
exames
periciais e documentos de
autoridades
federais,
estaduais e municipais, bem
como dos rgos e entidades
da
administrao
direta,
indireta ou fundacional, de
qualquer dos Poderes da
Unio, dos Estados, do
Distrito
Federal
e
dos
Municpios
e
requisitar
informaes e documentos a
entidades privadas, para
instruir procedimentos ou
processo em que oficie.
Direito do advogado de
resguardar
o
sigilo
profissional.
Constitui crime de fraude
eleitoral
nas
eleies
municipais as condutas de:
Aspecto da SI
informaes
sigilosas
de cargo, funo ou
emprego pblico.
Proteo
da
disponibilidade e sigilo
das
informaes
constantes nos registros
pblicos.
Proteo
da
disponibilidade e sigilo
das
informaes
pblicos.
do cliente do advogado.
autenticidade
dos
sistemas informatizados e
163
Dispositivo
Lei n 9.279/96,
art. 195, inciso XI.
Lei n
art. 10.
9.296/96,
Lei n 9.472/97,
art. 3, inciso V.
Mandamento Legal
(a) obter ou tentar obter,
indevidamente, acesso a
sistema
de
tratamento
automtico de dados utilizado
pelo servio eleitoral, a fim de
alterar
a
apurao
ou
contagem de votos; e (b)
tentar
desenvolver
ou
introduzir comando, instruo
ou programa de computador,
capaz de destruir, apagar,
eliminar, alterar, gravar ou
transmitir dado, instruo ou
programa
ou
provocar
qualquer
outro
resultado
diverso do esperado em
sistema
de
tratamento
automtico de dados utilizado
pelo servio eleitoral.
Constitui
crime
de
concorrncia desleal divulgar,
explorar ou utilizar, sem
autorizao,
de
conhecimentos, informaes
ou
dados
confidenciais,
utilizveis
na
indstria,
comrcio ou prestao de
servios, excludos aqueles
que sejam de conhecimento
pblico
ou
que
sejam
evidentes para um tcnico no
assunto, a que teve acesso
mediante relao contratual
ou empregatcia, mesmo
aps o trmino do contrato.
Pena de dois a quatro anos,
e multa por crime de
interceptao
de
comunicaes telefnicas, de
informtica ou telemtica, ou
quebra de segredo da
Justia, sem autorizao
judicial ou com objetivos no
autorizados em lei.
O usurio de servios de
telecomunicaes tem direito
inviolabilidade e ao segredo
de sua comunicao, salvo
Aspecto da SI
das informaes neles
armazenadas.
das pessoas jurdicas,
relacionado ao sigilo de
suas informaes.
Sigilo dos dados e das

comunicaes privadas.
Sigilo das comunicaes.
164
Dispositivo
Lei n 9.472/97,
art. 3, inciso VI.
Lei n 9.472/97,
art. 3, inciso IX.
Lei n
art. 72.
9.504/97,
Lei n
art. 62.
9.605/98,
Lei n 10.683/03,
art. 6.
Mandamento Legal
nas hipteses e condies
constitucional e legalmente
previstas.
no divulgao, caso o
requeira, de seu cdigo de
acesso.
ao
respeito
de
sua
privacidade nos documentos
de cobrana e na utilizao
de seus dados pessoais pela
prestadora do servio.
Pena de 5 a 10 anos pelas
condutas de obter acesso a
sistema
de
tratamento
automtico de dados usado
pelo servio eleitoral, a fim de
alterar a apurao ou a
contagem
de
votos;
desenvolver ou introduzir
comando,
instruo,
ou
programa de computador
capaz de provocar qualquer
outro resultado diverso do
esperado em sistema de
tratamento automtico de
dados usados pelo servio
eleitoral;
causar,
propositadamente,
dano
fsico ao equipamento usado
na votao ou na totalizao
de votos ou a suas partes.
pela conduta de destruir,
inutilizar
ou
deteriorar
arquivo, registro, museu,
biblioteca,
pinacoteca,
instalao cientfica ou similar
protegido
por
lei,
ato
administrativo ou deciso
judicial.
Prev a competncia do
GSIPR de coordenar a
atividade de segurana da
informao.
Aspecto da SI
Proteo de informaes
pessoais
de
carter
sigiloso.
Proteo de informaes
pessoais
de
carter
sigiloso.
das
informaes
de
carter eleitoral e dos
equipamentos.
Disponibilidade
e
integridade de dados e
informaes.
Todos os aspectos da
segurana da informao.
165
Dispositivo
Lei n. 10.703/03,
arts. 1 , 2 e 3, de
18 de julho de
2003.
Decreto
n
4.801/03, art. 1,
inciso X.
Decreto
n
5.483/05, arts. 3 e
11.
Decreto
n
5.687/06, arts.10 e
13 do Anexo.
Mandamento Legal
Incumbe aos prestadores de
servios
de
telecomunicaes
na
modalidade pr-paga, em
operao
no
territrio
nacional, manter cadastro
atualizado de usurios. Os
dados
constantes
do
cadastro,
salvo
motivo
justificado,
devero
ser
imediatamente
disponibilizados
pelos
prestadores de servios para
atender
solicitao
da
autoridade judicial, sob pena
de multa de at R$ 10.000,00
(dez mil reais) por infrao
cometida.
Atribuio da Cmara de
Relaes Exteriores e Defesa
Nacional, do Conselho de
Governo,
de
formular
polticas pblicas e diretrizes,
aprovar,
promover
a
articulao e acompanhar a
implementao
dos
programas
e
aes
estabelecidos no mbito da
Dever do agente pblico de
apresentar anualmente sua
declarao de bens e valores
que
integram
o
seu
patrimnio e dever de sigilo
por parte da Administrao
Pblica dessas informaes.
Conveno
das
Naes
Unidas contra a Corrupo
aprovada pelo Congresso
Nacional e promulgada pelo
Decreto n 5.687/06, segundo
a
qual,
cada
Estado
signatrio deve esforar-se
para
implementar,
entre
outras, as seguintes medidas:
art.
10:
a)
instaurar
procedimentos
ou
regulamentaes
que
Aspecto da SI
Disponibilidade de dados
cadastrais para fins de
investigao criminal e
sigilo
nas
demais
hipteses.
Todos os aspectos da
Disponibilidade
de
informaes pessoais do
agente pblico para o
Poder Pblico e dever de
sigilo por parte da
Controladoria-Geral
da
Unio.
Disponibilidade
das
informaes pblicas ou
administrativas e sigilo
das informaes pessoais
pblicos.
166
Dispositivo
Decreto
n
6.029/07, inciso II
do art. 1.
Decreto
n
6.029/07, art. 10.
Decreto
n
6.029/07, art. 13.
Mandamento Legal
permitam ao pblico em geral
obter informao sobre a
organizao,
o
funcionamento
e
os
processos de adoo de
decises
de
sua
administrao pblica, com o
devido respeito proteo da
intimidade e dos documentos
pessoais;
b)
simplificar
procedimentos
administrativos a fim de
facilitar o acesso do pblico
s informaes; c) dar
publicidade s informaes;
- art. 13: a) aumentar a
transparncia e promover a
contribuio da cidadania aos
processos de adoo de
decises; b) garantir o
acesso eficaz do pblico
informao.
O Sistema de Gesto da
tica do Poder Executivo
Federal tem como um de
seus objetivos contribuir para
a implementao de polticas
pblicas
tendo
a
transparncia e o acesso
informao
como
instrumentos
fundamentais
para o exerccio de gesto da
tica pblica.
Nos trabalhos das Comisses
de
tica
devero
ser
observados os princpios da
proteo honra e imagem
do investigado, bem como
proteo identidade do
denunciante, que dever ser
mantida sob reserva se este
o desejar.
Sero classificados como
reservados
os
procedimentos
de
investigao de condutas
antiticas.
Concluda
a
investigao
e
aps
a
Aspecto da SI
Disponibilidade
das
nos registros pblicos
Sigilo da identidade do
denunciante e sigilo do
processo para proteo
da honra e da imagem do
investigado antes da
prolao da deciso pela
Comisso de tica.
Sigilo
do
processo
administrativo
por
infrao tica antes da
prolao da deciso e
publicidade
aps
o
trmino e aplicao das
167
Dispositivo
Decreto
n
6.029/07, art. 22.
Mandamento Legal
deliberao da Comisso de
tica, o processo deixar de
ser reservado.
Comisso de tica Pblica
manter banco de dados de
sanes aplicadas para fins
de consulta antes de novas
nomeaes.
Aspecto da SI
penalidades.
Disponibilidade,
integridade
e
autenticidade
das
no banco de dados
mantido pela Comisso
de tica Pblica.
Fonte: GSIPR/DSIC (http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm#quadro1).
168
Anexo VI - Legislao especfica de carter Federal

Regulamento
Assunto
Lei n 7.232, de 29
de outubro de 1984.
Lei n 8.248, de 23
de outubro de 1991
Lei n 9.296, de 24
de julho de 1996.
Dispe sobre a Poltica Nacional de Informtica, e d

outras providncias.
Dispe sobre a capacitao e competitividade do setor de
informtica e automao, e d outras providncias.
Regulamenta o inciso XII, parte final, do art. 5 d a
Constituio Federal que dispe sobre a violao do sigilo
de dados e das comunicaes telefnicas.
Dispe sobre a organizao dos servios de
telecomunicaes, a criao e funcionamento de um
rgo regulador e outros aspectos institucionais.
Regula o direito de acesso a informaes e disciplina o
rito processual do habeas data.
Lei n 9.472, de 16
de julho de 1997
Lei n 9.507, de 12
de novembro de
1997.
Lei n 9.609, de 19
de
fevereiro
de
1998.
Lei n 9.883, de 07
de dezembro de
1999.
Lei n 8.159/91, de
08 de janeiro de
2001.
Lei
Complementar
105, de 10 de janeiro
de 2001.
Medida Provisria n
2.200-2, de 24 de
agosto de 2001.
Lei n 10.973, de 02
de dezembro de
2004.
Lei n 11.111, de 05
de maio de 2005.
Lei n 11.419, de 19
de dezembro de
2006.
Decreto n 2.295, 04
de agosto de 1997.
Decreto n 2.556, de
20 de abril de 1998.
Dispe sobre a proteo de propriedade intelectual de

programa de computador, sua comercializao no pas, e
d outras providncias.
Institui o Sistema Brasileiro de Inteligncia, cria a Agncia
Brasileira de Inteligncia - ABIN, e d outras providncias.
Dispe sobre a Poltica Nacional de Arquivos Pblicos e
Privados e d outras providncias.
Dispe sobre o sigilo das operaes de instituies
financeiras e d outras providncias.
Institui a Infra-Estrutura de Chaves Pblicas Brasileira
ICP-Brasil, transforma o Instituto Nacional de Tecnologia
da Informao em autarquia, e d outras providncias.
Dispe sobre incentivos inovao e pesquisa cientfica
e tecnolgica no ambiente produtivo e d outras
providncias.
Regula o direito informao e ao acesso aos registros
pblicos.
Dispe sobre a informatizao do processo judicial; altera
a Lei n 5.869, de 11 de janeiro de 1973 Cdigo de
Processo Civil; e d outras providncias.
Regulamenta o disposto no art. 24, inciso IX, da Lei n
8.666, de 21 de junho de 1993, e dispe sobre a dispensa
de licitao nos casos que possam comprometer a
segurana nacional. Neste caso o processo dever ser
sigiloso, excetuando-se a publicidade das compras
governamentais.
Regulamenta o registro previsto no art. 3 da Lei n 9.609,
de 19 de fevereiro de 1998, que dispe sobre a
propriedade intelectual de programa de computador, sua
169
Regulamento
Assunto
Decreto n 3.294, de
15 de dezembro de
1999.
Decreto n 3.505, de
13 de junho de 2000.
Decreto de 18 de
outubro de 2000.
Decreto n 3.714, 03
de janeiro de 2001.
Decreto n 3.996,
31 de outubro
2001.
Decreto n 4.073,
03 de janeiro
2002.
Decreto n 4.376,
13 de setembro
2002.
Decreto n 4.522,
de dezembro
2002.
Decreto n 4.553,
27 de dezembro
2002.
de
de
de
de
de
de
17
de
de
de
Decreto n 4.689, de
07 de maio de 2003.
Decreto n 4.829, de
03 de setembro de
2003.
Decreto de 29 de
outubro de 2003.
Decreto n 5.301, de
09 de dezembro de
2004.
Decreto n 5.450, de
31 de maio de 2005.
Decreto n 5.563, de
11 de outubro de
2005.
comercializao no pas, e d outras providncias.

Institui Programa Sociedade da Informao, com objetivo
de viabilizar a nova gerao da Internet e suas aplicaes
em benefcio da sociedade brasileira.
Institui a Poltica de Segurana da Informao nos rgos
e entidades da Administrao Pblica Federal.
Cria, no mbito do Conselho de Governo, o Comit
Executivo do Governo Eletrnico, e d outras
providncias.
Dispe sobre a remessa por meio eletrnico de
documentos a que se refere o art. 57-A do Decreto no
2.954, de 29 de janeiro de 1999, e d outras providncias.
Dispe sobre a prestao de servios de certificao
digital no mbito da Administrao Pblica Federal.
Regulamenta a Lei n 8.159, de 08 de janeiro de 1991,
que dispe sobre a poltica nacional de arquivos pblicos
e privados.
Dispe sobre a organizao e o funcionamento do
Sistema Brasileiro de Inteligncia, e d outras
providncias.
Dispe sobre o Sistema de Gerao e Tramitao de
Documentos Oficiais - SIDOF, e d outras providncias.
Dispe sobre a salvaguarda de dados, informaes,
documentos e materiais sigilosos de interesse da
segurana da sociedade e do Estado, no mbito da
Administrao Pblica Federal, e d outras providncias.
Aprova a Estrutura Regimental e o Quadro Demonstrativo
dos Cargos em Comisso do Instituto Nacional de
Tecnologia da Informao ITI, e d outras providncias.
Dispe sobre a criao do Comit Gestor da Internet no
Brasil CGIbr, sobre o modelo de governana da Internet
no Brasil, e d outras providncias.
Institui Comits Tcnicos do Comit Executivo do
Governo Eletrnico e d outras providncias.
Institui a Comisso de Averiguao e Anlise de
Informaes Sigilosas, dispe sobre suas atribuies e
regula seu funcionamento.
Regulamenta o prego, na forma eletrnica, para
aquisio de bens e servios comuns, e d outras
providncias.
Regulamenta a Lei n 10.973, de 02/12/04, que dispe
sobre incentivos inovao e pesquisa cientfica e
tecnolgica no ambiente produtivo, e d outras
providncias.
170
Regulamento
Assunto
Decreto n 5.584, de
18 de novembro de
2005.
Dispe sobre o recolhimento ao Arquivo Nacional dos

documentos arquivsticos pblicos produzidos e recebidos
pelos extintos Conselho de Segurana Nacional - CSN,
Comisso Geral de Investigaes - CGI e Servio
Nacional de Informaes - SNI, que estejam sob a
custdia da Agncia Brasileira de Inteligncia - ABIN.
Institui na estrutura regimental do Gabinete de Segurana
Institucional da Presidncia da Repblica o Departamento
de Segurana da Informao e Comunicaes com
diversas atribuies na rea de segurana da informao
e comunicaes.
Dispe sobre o Comit Gestor da Infra-Estrutura de
Chaves Pblicas Brasileira - CG ICP-Brasil, sua
Secretaria-Executiva e sua Comisso Tcnica Executiva COTEC.
Disciplina a Gesto de Segurana da Informao e
Comunicaes na Administrao Pblica Federal, direta e
indireta, e d outras providncias.
Estabelece normas e procedimentos relativos ao registro
de programas de computador.
Decreto n 5.772, de
08 de maio de 2006,
art. 8.
Decreto n 6.605, de
14 de outubro de
2008.
Instruo Normativa
n 1 do GSI, de 13
de junho de 2008.
Resoluo n 58 do
INPI, de 14 de julho
de 1998.
Resoluo n 59 do
INPI, de 14 de julho
de 1998.
Resoluo n 338 do
STF, de 11 de abril
de 2007.
Resoluo n 140 do
TST, de 13 de
setembro de 2007.
Resoluo
n
22.718/08 do TSE,
arts. 18 e 19.
Estabelece os valores das retribuies pelos servios de

registro de programas de computador.
Dispe
sobre
classificao,
acesso,
manuseio,
reproduo, transporte e guarda de documentos e
processos de natureza sigilosa no mbito do STF.
Regulamenta, no mbito da Justia do Trabalho, a Lei n
11.419, de 19 de dezembro de 2006, que dispe sobre a
informatizao do processo judicial.
Regula a propaganda eleitoral na internet em campanha
nas eleies de 2008.
171
Anexo VII - Legislao especfica de carter Estadual/Distrital

Regulamento
Lei Distrital
3.437,
de
setembro
2004.
Assunto
n
09
de
Dispe sobre o cadastro dos usurios das empresas ou

instituies que locam ou cedem gratuitamente
computadores e mquinas para acesso Internet, no
mbito do Distrito Federal, conhecidas tambm como
cyber-cafs.
Lei Estadual de
So Paulo n
12.228, de 11 de
janeiro de 2006.
Lei Estadual do
Rio Grande do
Sul n 12.698, de
04 de maio de
2007.
Dispe sobre os estabelecimentos comerciais que

colocam a disposio, mediante locao, computadores e
mquinas para acesso Internet e d outras
providncias.
Dispe sobre a proteo da sade dos consumidores nos
estabelecimentos comerciais que ofertam a locao e o
respectivo acesso a jogos de computador em rede local,
conhecidos como "LAN house" - "Local rea Network" -, e
seus correlatos, e d outras providncias, dentre as quais
a exigncia de cadastramento dos menores de 18 anos
que frequentam o local.
Estabelece normas suplementares de direito penitencirio
e regula a vigilncia eletrnica, e d outras providncias.
Lei Estadual de
So Paulo n
12.906, de 14 de
abril de 2008.
Decreto Estadual
do Paran n
5.111, de 19 de
julho de 2005.
Estabelece diretrizes para o licenciamento de programas

de computador de titularidade de entidades da
Administrao Estadual na Licena Pblica Geral da
Administrao Pblica LPG-AP, e d outras
providncias.
172
Anexo VIII - Legislao especfica de carter Municipal

Regulamento
Lei Municipal de
Farroupilha-RS n 3.087,
de 29 de dezembro de
2005.
Assunto
Dispe sobre o funcionamento das casas de jogos
por computador conhecidos como Lan Houses, e d
outras providncias, dentre as quais a exigncia de
cadastramento dos menores de 18 anos que
frequentam o local.
173
Anexo IX - Normas tcnicas

Regulamento
Assunto
ISO/IEC
TR Esta norma fornece tcnicas para a gesto de segurana na
13335-3:1998.
rea de tecnologia da informao. Baseada na norma
ISO/IEC 13335-1 e TR ISO/IEC 13335-2. As orientaes so
projetadas para auxiliar o incremento da segurana na TI.
ISO/IEC GUIDE Esta norma fornece aos elaboradores de normas
51:1999.
recomendaes para a incluso dos aspectos de segurana
nestes documentos. aplicvel a qualquer aspecto de
segurana relacionado a pessoas, propriedades, ao
ambiente, ou a uma combinao de um ou mais destes (por
exemplo, somente pessoas; pessoas e propriedades;
pessoas, propriedades e o ambiente).
ISO/IEC GUIDE Esta norma fornece definies genricas de termos de gesto
73:2002.
de riscos para a elaborao de normas. Seu propsito ser
um documento genrico de alto nvel voltado para a
preparao ou reviso de normas que incluam aspectos de
gesto de riscos.
ABNT NBR ISO Esta norma equivalente ISO/IEC 17799:2005. Consiste
IEC
17799: em um guia prtico que estabelece diretrizes e princpios
2005.
gerais para iniciar, implementar, manter e melhorar a gesto
de segurana da informao em uma organizao. Os
objetivos de controle e os controles definidos nesta norma
tm como finalidade atender aos requisitos identificados na
anlise/avaliao de riscos.
ABNT NBR
Esta norma usada para fins de certificao e substitui a
ISO/IEC
norma Britnica BS 7799-2:2002. Aplicvel a qualquer
27001:2005.
organizao, independente do seu ramo de atuao, define
requisitos para estabelecer, implementar, operar, monitorar,
revisar, manter e melhorar um Sistema de Gesto de

Plano de SI - EQA

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Plano de SI - EQA

Transféré par

Droits d'auteur :

Formats disponibles

FACULDADE SENAC SERVIO NACIONAL DE APRENDIZAGEM

JORGE ANTNIO COELHO DE SOUSA

PLANO DE SEGURANA DA INFORMAO:

FACULDADE SENAC SERVIO NACIONAL DE APRENDIZAGEM

JORGE ANTNIO COELHO DE SOUSA

PLANO DE SEGURANA DA INFORMAO:

Projeto Integrador de Curso de PsGraduao

JORGE ANTNIO COELHO DE SOUSA

PLANO DE SEGURANA DA INFORMAO:

Projeto Integrador de Curso de PsGraduao

Dedicamos este trabalho s nossas

Aos nossos pais, pelo carinho e apoio.

Palavras chave: estratgia, informao, patentes, pesquisa, riscos, segurana.

Keywords: strategy, information, patents, research, risk, security.

LISTA DE ABREVIATURAS E SIGLAS

Associao Brasileira de Normas Tcnicas

Fundao Centros de Referncia em Tecnologia Inovadora

Complexo de Ensino Superior de Santa Catarina

Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico

Coordenao Nacional de Lutas

Comisso Permanente do Vestibular

Instituto Alberto Luiz Coimbra de ps-graduao e Pesquisa de

Centro Tecnolgico da Universidade Federal de Santa Catarina

Central nica dos Trabalhadores

Departamento de Inovao Tecnolgica

Departamento de Recursos Humanos

Departamento de Segurana da Informao e Comunicaes.

Diviso de Segurana e Sade do Trabalhador

Empresa Brasileira de Compressores

Engenharia Qumica e Engenharia de Alimentos

Fundao de Apoio Pesquisa Cientfica e Tecnolgica do

Fundao do Meio Ambiente

Fundao de Ensino e Engenharia de Santa Catarina

Fundao de Estudos e Pesquisas Scio-Econmicos

Financiadora de Estudos e Projetos

Fundao Jos Arthur Boiteaux

Instituto Federal de Santa Catarina

Ncleo de Desenvolvimento e Assessoramento Tcnico

Ncleo de Inovao Tecnolgica

Ncleo de Processamento de Dados

Petrleo Brasileiro S.A

Prefeitura Municipal de Florianpolis

Regime Jurdico nico

Servio Nacional de Aprendizagem Industrial

Sindicato dos Trabalhadores da Universidade Federal de Santa

Universidade do Estado de Santa Catarina

Universidade Federal de Santa Catarina

Universidade do Sul de Santa Catarina

Universidade do Vale do Itaja

Objetivo Geral ......................................................................................16

A Norma ABNT NBR ISO/IEC 17799...................................................18

Autorizao para pesquisar .................................................................21

Caracterizao da Pesquisa ................................................................21

Tcnica de Coleta de Dados................................................................21

Forma de Anlise dos Dados...............................................................24

OBJETIVO DO ESTUDO ............................................................................25

Apresentao da Empresa ..................................................................25

CARACTERIZAO DO AMBIENTE EXTERNO .......................................28

Foras Legais ...............................................................................30

Foras Polticas ............................................................................31

Foras Econmicas ......................................................................31

Foras Ecolgicas ........................................................................32

Foras Sociais ..............................................................................32

Ambiente Especfico ............................................................................35