FACULDADE LOURENO FILHO

BACHARELADO EM CINCIAS DA COMPUTAO

FRANCISCO MARCELO ALENCAR DE MATOS

PROPOSTA DE UM CHECKLIST PARA VERIFICAO DA

SEGURANA FSICA DE UMA EMPRESA BASEADA NA NORMA
ABNT NBR ISO/IEC 27002:2005

FORTALEZA
2010

FRANCISCO MARCELO ALENCAR DE MATOS

PROPOSTA DE UM CHECKLIST PARA VERIFICAO DA

SEGURANA FSICA DE UMA EMPRESA BASEADA NA NORMA
ABNT NBR ISO/IEC 27002:2005

Monografia apresentada ao curso de Cincias da

Computao da Faculdade Loureno Filho como
requisito para obteno do grau de bacharel.
Sob a orientao do Professor Msc. Jos Alzir Bruno
Falco.

FORTALEZA
2010

TERMO DE APROVAO

PROPOSTA DE UM CHECKLIST PARA VERIFICAO DA

SEGURANA FSICA DE UMA EMPRESA BASEADA NA NORMA
ABNT NBR ISO/IEC 27002:2005
Por
FRANCISCO MARCELO ALENCAR DE MATOS

Este estudo monogrfico foi apresentado no dia 21 de Dezembro de 2010, como requisito parcial
para a obteno do grau de bacharel em CINCIAS DA COMPUTAO da Faculdade Loureno
Filho, tendo sido aprovado pela Banca Examinadora composta pelos professores:

BANCA EXAMINADORA

____________________________________________________

Prof. Msc. Jos Alzir Falco

Orientador FLF

____________________________________________________

Prof. Carlos Roberto Vieira de Arago

Examinador FLF

____________________________________________________

Prof. Jos Vigno

Examinador FLF

AGRADECIMENTOS

A Deus primeiramente, por ter sempre me mostrado claramente os caminhos e me ajudado em

todos os aspectos da minha vida, me abenoando sempre.
A toda minha famlia, ao meu pai, Jos Clayton Rocha de Matos por ter me iniciado na rea
de informtica, tendo me incentivado e ajudado sempre que necessrio, e em especial minha
querida me, Maria do Socorro Alencar de Matos que sempre cuidou e me amou
incondicionalmente, estando sempre presente em todos os momentos de minha vida e a minha
esposa Camila Silva Alves de Matos por tanto ter me incentivado.
Aos professores da Faculdade Loureno Filho pela pacincia e contribuio para a realizao
deste trabalho monogrfico.

Na era da informao, ao mesmo tempo em que

as informaes so consideradas o principal
patrimnio de uma organizao, elas esto
tambm sob permanente risco, como nunca
estiveram antes. Com isso, a segurana da
informao
tornou-se
crucial
para
a
sobrevivncia das instituies.

Jos Batista Siqueira Filho

Jos Bezerra da Silva Filho

RESUMO

Este trabalho monogrfico aborda a implantao da Segurana Fsica em uma organizao

tendo como base a Norma ABNT NBR ISO/IEC 27002:2005, principal fonte de pesquisa
utilizada. Todos os aspectos propostos na norma esto aqui descritos. O objetivo final desta
monografia consiste em propor um Checklist genrico para verificao de conformidade de
uma organizao com a Norma ABNT NBR ISO/IEC 27002:2005. Nas ltimas dcadas, o
crescimento desordenado da Internet tem criado um ambiente propcio ao desenvolvimento de
muitas ameaas. Tais ameaas se valem, na maioria dos casos, da total ausncia de um
ambiente seguro e da deficincia de polticas de segurana. No incio, a conectividade a
qualquer custo e velocidade eram os objetivos principais. Com os grandes prejuzos obtidos
nos ltimos anos devido ausncia de segurana, que surgiu a preocupao em investir em
Segurana da Informao. A Segurana da Informao tem como objetivo proteger os ativos
de rede, tentando minimizar ao mximo os riscos a que o ativo est exposto. Ela pode ser
dividida em duas partes que so Segurana Lgica e Segurana Fsica. A Segurana Fsica,
outro importante objeto de pesquisa neste projeto monogrfico, to importante quanto a
Segurana Lgica, e desempenha um importante papel na proteo aos ativos de uma
empresa.
Palavras-chave: Segurana da Informao. Segurana Fsica. ABNT NBR ISO/IEC
27002:2005. Checklist.

13

ABSTRACT

This monographic work tries to explain the Physical Security deployment in an organization
drawing upon ABNT NBR ISO / IEC 27002:2005 standard, the main source of research used.
All proposed aspects in the rule are described here. The final objective of this monograph is to
propose a generic Checklist for verification of compliance of an organization with the ABNT
NBR ISO / IEC 27002:2005 standard. In recent decades, the disorderly growth of the Internet
has created an environment conducive to the development of many threats. Such threats are
worth, in most cases, the total absence of a secure environment and the lack of security
policies. Initially, the connectivity at any cost and speed were the main objectives. With the
big losses made in recent years due to lack of security, there the concern in investing in the
Information Security. The Information Security is intended to protect the assets of network,
trying to minimize as much as possible the risks to which the asset is exposed. It can be
divided into two parts that are Logical Security and Physical Security. The Physical Security,
another important research object of this monographic project, is as important as the Logical
Security, and plays an important role in protecting the assets of a company.
Key-Words: Information Security. Physical Security. ABNT NBR ISO/IEC 27002:2005.
Checklist.

14

LISTA DE FIGURAS

FIGURA 1 Evoluo do nmero de domnios .br ................................................................... 21

FIGURA 2 Internautas ativos em residncias e no trabalho em horas navegadas .................. 21
FIGURA 3 Principais ameaas Segurana ........................................................................... 28
FIGURA 4 Checklist baseado na Norma NBR ISO 27002 ..................................................... 51

15

LISTA DE ABREVIATURAS E SIGLAS

ABNT Associao Brasileira de Normas Tcnicas

C Linguagem de Programao de alto nvel
C++ Linguagem de programao criada no incio dos anos 70, a partir da linguagem C
CB Comits Brasileiros
CE Comisses de Estudo
CEET Comisses de Estudos Especiais Temporrias
DDoS Distributed Denial of Service
DoS Denial of Service
EUA Estados Unidos da Amrica
IEC International Electrotechnical Commission
IP Internet Protocol
ISO International Standards Organization
JTC Joint Technical Committee
NBR Abreviatura que denota uma norma brasileira emitida pela ABNT
NMAP Software livre que realiza port scan
ONS Organismos de Normalizao Setorial
PIN Personal Identification Number
SGSI Sistema de Gesto da Segurana da informao
TCP Transmission Control Protocol
TI Tecnologia da Informao
UNIX Sistema operacional desenvolvido em 1969, pela empresa americana AT&T
UPS Uninterruptible Power Supply

SUMRIO

1 INTRODUO ............................................................................................. 13
1.1 Contextualizao do problema ..................................................................... 13
1.2 Objetivo geral ............................................................................................... 14
1.3 Objetivos especficos ................................................................................... 14
1.4 Justificativa................................................................................................... 14
1.5 Hipteses ...................................................................................................... 15
1.6 Metodologia ................................................................................................. 16
1.7 Estrutura da monografia ............................................................................... 16
1.8 Referencial terico ....................................................................................... 17
2 REVISO BIBLIOGRFICA..................................................................... 18
2.1 Conceituao ................................................................................................ 18
2.1.1 Informao ................................................................................................ 18
2.1.2 Segurana da Informao ......................................................................... 19
2.2 Evoluo da Internet nos ltimos anos ........................................................ 20
2.3 Necessidade de segurana ............................................................................ 22
2.4 Ameaas ....................................................................................................... 23
2.5 Ataques ......................................................................................................... 24
2.5.1 Principais ataques ..................................................................................... 24
2.6 Estatsticas que justificam o investimento em segurana ............................ 27
2.7 Snteses de trabalhos que versam sobre Segurana da Informao ............. 29
2.7.1 Trabalho 1: Uma abordagem sobre poltica da segurana da informao
implantada .......................................................................................................... 29
2.7.2 Trabalho 2: Segurana da informao na rede interna com certificados
digitais e seus aspectos legais ............................................................................ 30
2.7.3 Trabalho 3: Hackers. Como se proteger? ................................................ 30

11

2.7.4 Trabalho 4: Poltica de segurana da informao para redes corporativas.

............................................................................................................................ 31
2.7.5 Trabalho 5: COBIT, ITIL e ISO/IEC 27002 melhores prticas para
Governana de Tecnologia da Informao. ...................................................... 31
2.7.6 Trabalho 6: Segurana como estratgia de gesto da informao .......... 32
2.8 Normas para Segurana da Informao ....................................................... 33
2.8.1 Norma ABNT NBR ISO/IEC 27002:2005 ................................................. 34
2.8.1.1 Objetivos................................................................................................. 34
2.8.1.2 Abrangncia ........................................................................................... 35
2.8.1.3 Importncia ............................................................................................ 35
2.8.2 Norma ISO/IEC FDIS 27001:2005 ........................................................... 36
2.9 Segurana Fsica e do Ambiente de Acordo com a Norma ABNT NBR
ISO/IEC 27002:2005 .......................................................................................... 37
2.9.1 reas seguras ............................................................................................ 37
2.9.2 Permetro de segurana fsica .................................................................. 38
2.9.3 Controles de entrada fsica ....................................................................... 40
2.9.4 Segurana em escritrios, salas e instalaes .......................................... 41
2.9.5 Proteo contra ameaas externas e do meio ambiente........................... 41
2.9.6 Trabalhando em reas seguras ................................................................. 42
2.9.7 Acesso do pblico, reas de entrega e de carregamento.......................... 43
2.9.8 Segurana de equipamentos ...................................................................... 44
2.9.9 Instalao e proteo do equipamento ..................................................... 44
2.9.10 Utilidades ................................................................................................ 45
2.9.11 Segurana do cabeamento ...................................................................... 47
2.9.12 Manuteno dos equipamentos ............................................................... 48
2.9.13 Segurana de equipamentos fora das dependncias da organizao .... 48
2.9.14 Reutilizao e alienao segura de equipamentos ................................. 49
2.9.15 Remoo de propriedade ........................................................................ 50
3 CHECKLIST PROPOSTO .......................................................................... 51

12

4 CONSIDERAES FINAIS ....................................................................... 53

4.1 Concluso ..................................................................................................... 53
4.2 Trabalhos Futuros ......................................................................................... 54
REFERNCIAS ............................................................................................... 55

13

1 INTRODUO

Na era da tecnologia digital e do mundo virtual, as organizaes passam a ter a

informao como um dos seus principais patrimnios. Sendo um dos principais ativos, a
informao necessita ser protegida a qualquer custo de qualquer eventualidade. A perda das
informaes de uma organizao acarreta um grande prejuzo para a mesma, e a proporo
deste prejuzo aumenta medida que a importncia desta informao para a empresa tambm
aumenta.
No mundo hoje, existem muitas ameaas informao. Previnir-se contra essas
ameaas essencial. de vital importncia que as organizaes criem mtodos de proteo
contra tais ameaas. Para padronizar tais mtodos e assegurar sua eficcia, existem rgos
responsveis por criar normas e regras que assegurem a Segurana a Informao.
A norma ABNT NBR ISO/IEC 27002:2005 a principal referncia para assegurar
a implantao eficaz da Segurana da Informao em uma organizao. Baseada nela, ser
apresentado um Checklist que servir de termmetro para que as organizaes consigam
checar o seu nvel de conformidade com a norma, e assim corrigir os pontos falhos.

1.1 Contextualizao do problema

A necessidade de segurana um fato que vem transcendendo o limite da

produtividade e da funcionalidade. Enquanto a velocidade e a eficincia em todos os
processos de negcios significam uma vantagem competitiva, a falta de segurana nos meios
que habilitam a velocidade e a eficincia pode resultar em grandes prejuzos e falta de
oportunidades de negcios. (NAKAMURA; GEUS, 2003).
Para a segurana da informao, minimizar as possibilidades de ataques e
conseqentes prejuzos s organizaes no dependem somente dos recursos tecnolgicos
disponveis, mas tambm dos aspectos humanos, processuais, jurdicos e de negcios da
organizao.
A segurana fsica compreende-se no ambiente, ela abrange todo o ambiente onde
os sistemas de informao esto instalados, normalmente se faz necessria a ajuda da

14
engenharia civil e eltrica, j a segurana lgica compreende-se em programas, onde
mecanismos de proteo baseados em softwares so aplicados, ambas podem ser planejadas e
implantadas em paralelo.

1.2 Objetivo geral

Apresentar um Checklist genrico para verificao da segurana fsica da

informao em qualquer empresa, baseado na Norma ABNT NBR ISO/IEC 27002:2005.

1.3 Objetivos especficos

Analisar a Segurana da Informao, sua importncia e os fatores que a ameaam;

Apresentar e comentar a norma ABNT NBR ISO/IEC 27002:2005, sua importncia,

objetivos e abrangncia;

Levantar todos os controles referentes Segurana Fsica da Informao de acordo

com a norma ABNT NBR ISO/IEC 27002:2005.

1.4 Justificativa

O mundo da segurana marcado pela evoluo contnua, no qual novos ataques

tm como resposta novas formas de proteo que levam ao desenvolvimento de novas
tcnicas de ataques e assim sucessivamente. Esse mesmo comportamento pode ser observado
no mundo da informao, onde tambm se deve ter em mente que a segurana deve ser
contnua e evolutiva. (NAKAMURA; GEUS, 2003).

15
Entretanto, ainda hoje a segurana tratada de maneira superficial por grande
parte das organizaes. No recebendo a devida importncia e sem a definio de uma boa
estratgia de segurana, so utilizadas tcnicas parciais ou incompletas que podem aumentar a
vulnerabilidade da organizao. (NAKAMURA; GEUS, 2003).
Os tipos de perdas que as empresas podem experimentar por causa de lapsos na
segurana dos computadores podem ser contabilizados das seguintes maneiras (BURNETT,
2002) e (STEVE, 2002):

Dados ou segredos: Perda de nmeros de carto de crdito do usurio,

comprometimento de relatrios financeiros e acesso no-autorizado s informaes;

Perda de reputao: s vezes uma avaliao negativa do analista pode causar um

impacto to grande quanto prpria invaso. Isso pode ser uma das principais razes
pelas quais as empresas raramente informam invases e roubo de dados;

Perdas financeiras: Alm dos roubos financeiros diretos, a perda de dados e a perda de
reputao resultaro em perdas financeiras.

Os seguintes fatores justificam a preocupao com a segurana contnua: a

natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criao de novas
formas de ataques, o aumento da conectividade, a complexidade da defesa, o aumento dos
crimes digitais e os grandes prejuzos ocasionados pela falta de segurana. (NAKAMURA;
GEUS, 2003).

1.5 Hipteses

A Segurana da Informao realmente um ponto de vital importncia, pois ela

defende um dos maiores patrimnios das organizaes, suas informaes;

A norma ABNT NBR ISO/IEC 27002:2005 uma forte referncia para a implantao
adequeda e eficaz da Segurana da Informao;

16

O Checklist aqui proposto pode ser utilizado para medir o grau de conformidade da
segurana fsica de uma organizao com esta norma.

1.6 Metodologia

Para desenvolver o estudo sobre Segurana Fsica da Informao e implantao da

mesma em uma organizao em conformidade com a norma ABNT NBR ISO/IEC
27002:2005, bem como para propor o Checklist sero aplicadas as tcnicas de:

Estudo de Bibliografias relacionadas rea;

Grficos comparativos.

1.7 Estrutura da monografia

Este trabalho monogrfico compreende em 4 captulos. O primeiro captulo de

introduo que contextualiza o problema, especifica os objetivos gerais e especficos,
demonstra justificativas, hipteses, metodologia, estrutura e referencial terico abordado neste
trabalho.
O segundo captulo aborda os conceitos de Informao e Segurana da
Informao, citando tambm a evoluo da Internet nos ltimos anos e sua importncia, o
surgimento e justificativas da necessidade de segurana da informao e os conceitos e
exemplos de ameaas e ataques, finalizando com algumas estatsticas que justificam a
preocupao e os investimentos em Segurana da Informao, sntese de alguns trabalhos, as
normas para segurana da informao so abordadas, bem como alguns importantes orgos
criadores e gestores dessas normas. A Norma ABNT NBR ISO/IEC 27002:2005 tem seus
objetivos, abrangncia e importncia comentados e explanados, so abordados tambm todos
os controles da Norma ABNT NBR ISO/IEC 27002:2005. Cada controle explicado e as
medidas a se tomar para haver a conformidade com a norma so enumeradas.

17
No terceiro captulo, o Checklist proposto, oriundo desta pesquisa ento
disponibilizado e comentado.
J no ltimo captulo, descrito as consideraes finais e sugestes de trabalhos
futuros.

1.8 Referencial terico

Neste trabalho foram utilizadas referncias bibliogrficas de vital importncia para

o seu desenvolvimento. A referncia mais utilizada foi, sem dvida, a prpria norma ABNT
NBR ISO/IEC 27002:2005. Sendo o tema proposto um retrato da norma, no haveria, assim,
referncia mais perfeita, tendo sido as outras referncias utilizadas como apoio e
complemento terico prpria norma no decorrer deste trabalho.

18

2 REVISO BIBLIOGRFICA

O advento da Internet e das diversas aplicaes que passaram a ser desenvolvidas

em ambiente web, assim como o paradigma de desenvolvimento de sistemas em ambiente
distribudo podem representar um dos marcos iniciais para as preocupaes com os aspectos
de segurana lgica e fsica em ambientes de tecnologia da informao. nesse instante
quando comeam as preocupaes de gestores e desenvolvedores com invases de sistemas e,
sobretudo, com a criao de estratgias e mecanismos que dificultem a violabilidade de tais
informaes.
Outro ponto extremamente significativo no processo de segurana lgica e fsica
de ambientes de TI veio da quantidade de transaes bancrias realizadas na Internet.

2. 1 Conceituao

Abaixo so apresentadas separadamente os conceitos de Informao e de

Segurana da Informao, deixando clara a distino de cada um, bem como a relao entre
ambos.

2.1.1 Informao

Segundo a ABNT NBR ISO/IEC 27002 (2005), a informao um ativo que,

como qualquer outro ativo importante, essencial para os negcios de uma organizao e
conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no
ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel
aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a
uma grande variedade de ameaas e vulnerabilidades.
Como salienta Dias (2000), a informao o principal patrimnio da empresa e
est sob constante risco. A informao pode existir em diversas formas. Ela pode ser impressa

19
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada
ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que
ela seja sempre protegida adequadamente.
A informao representa a inteligncia competitiva dos negcios e reconhecido
como ativo crtico para a continuidade operacional da empresa (SMOLA, 2003).
Nem toda informao vital, porm determinadas informaes podem ser to
importantes e necessrias que qualquer custo aplicado para manter sua integridade seria nada
se comparado ao custo de no dispor de tais informaes. Para medir o grau de importncia de
uma informao, Wadlow (2000) classifica-a em nveis de prioridade. Tais nveis respeitam a
necessidade de cada empresa, bem como a importncia da classe de informao para a
manuteno das atividades da empresa. Seriam:

Pblica: Informao que pode vir a pblico sem maiores conseqncias danosas ao
funcionamento normal da empresa, e cuja integridade no vital.

Interna: O acesso livre a este tipo de informao deve ser evitado, embora as
conseqncias do uso no autorizado no sejam por demais srias. Sua integridade
importante, mesmo que no seja vital.

Confidencial: Informao restrita aos limites da empresa, cuja divulgao ou perda

pode levar a desequilbrio operacional, e eventualmente, a perdas financeiras ou de
confiabilidade perante o cliente externo.

Secreta: Informao crtica para as atividades da empresa, cuja integridade deve ser
preservada a qualquer custo e cujo acesso deve ser restrito a um nmero reduzido de
pessoas. A segurana desse tipo de informao vital para a companhia.

2.1.2 Segurana da Informao

Segurana da informao a proteo da informao de vrios tipos de ameaas

para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno
sobre os investimentos e as oportunidades de negcio (ABNT NBR ISO/IEC 27002, 2005).

20
De acordo com Smola (2003), pode-se definir Segurana da Informao como
uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no
autorizados, alteraes indevidas ou sua indisponibilidade.
A segurana da informao obtida a partir da implementao de um conjunto de
controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais
e funes de software e hardware (ABNT NBR ISO/IEC 27002, 2005).
Para Krause (1999), Pereira (2000) e Albuquerque (2002), h trs princpios
bsicos para garantir a Segurana da Informao:

Confidencialidade: A informao somente pode ser acessada por pessoas

explicitamente autorizadas. a proteo de sistemas de informao para impedir que
pessoas no autorizadas tenham acesso;

Disponibilidade: A informao deve estar disponvel no momento em que a mesma

for necessria;

Integridade: A informao deve ser recuperada em sua forma original (no momento
em que foi armazenada). a proteo dos dados ou informaes contra modificaes
intencionais ou acidentais no-autorizadas.

2.2 Evoluo da Internet nos ltimos anos

Nas ltimas dcadas a Internet, bem como o seu uso tem crescido de forma
acelerada. Tornando-se assim muito presente no dia-a-dia das pessoas de forma quase que
indispensvel. No se pode mais imaginar o mundo, a rotina das pessoas, as empresas e os
negcios sem a Internet.
Segundo Honeycutt (1998), o crescimento da Internet tem sido explosivo. Em
1985, haviam mais de 2.000 computadores host na Internet. Agora h bem mais de 9 milhes
de computadores host que suportam milhes de usurios. A cada ms, a Internet incorpora
milhes de novos usurios.
A Internet no de modo algum uma rede, mas sim um vasto conjunto de redes
diferentes que utilizam certos protocolos comuns e fornecem determinados servios comuns.
um sistema pouco usual no sentido de no ter sido planejado nem ser controlado por
ningum (TANENBAUM,2003).

21
A seguir, na Figura 1, temos algumas estatsticas do aumento de usurios,
domnios e servidores na Internet, o que vem a confirmar tais afirmaes.

FIGURA 1 Evoluo do nmero de domnios .br.

Fonte: Registro.br (2010)

O grfico abaixo, exibe o tempo mdio em que os internautas brasileiros utilizam a

Internet (tempo conectado e navegando), ms a ms. O grfico tambm detalha a quantidade
de usurios. Assim, pode-se comprovar o quanto a Internet necesria atualmente. Isso
tambm um indcio do crescimento acelerado da Internet.

FIGURA 2 Internautas ativos em residncias e no trabalho em horas navegadas.

Fonte: IBOPE NetRattings (2010)

22

2.3 Necessidade de Segurana

A informao e os processos de apoio, sistemas e redes so importantes ativos para

os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser
atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o
atendimento aos requisitos legais e a imagem da organizao junto ao mercado.
As organizaes, seus sistemas de informao e redes de computadores so
expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes
eletrnicas, espionagem, sabotagem, vandalismo, incndio e inundao. Danos causados por
cdigo malicioso, hackers e ataques de denial of service esto se tornando cada vez mais
comuns, mais ambiciosos e incrivelmente mais sofisticados.
A segurana da informao importante para os negcios, tanto do setor pblico
como do setor privado, e para proteger as infra-estruturas crticas. Em ambos os setores, a
funo da segurana da informao viabilizar os negcios como o governo eletrnico (egov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos relevantes. A
interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao
aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda
reduz a eficcia da implementao de um controle de acesso centralizado.
Muitos sistemas de informao no foram projetados para serem seguros. A
segurana da informao que pode ser alcanada por meios tcnicos limitada e deve ser
apoiada por uma gesto e por procedimentos apropriados. A identificao de controles a
serem implantados requer um planejamento cuidadoso e uma ateno aos detalhes. A gesto
da segurana da informao requer pelo menos a participao de todos os funcionrios da
organizao. Pode ser que seja necessria tambm a participao de acionistas, fornecedores,
terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada
pode ser tambm necessria (ABNT NBR ISO/IEC 27002, 2005).

23

2.4 Ameaas

O conhecimento das ameaas e ataques potenciais que podem enfraquecer o

ambiente computacional das empresas fundamental antes de decidir sobre quais sero os
investimentos na rea de segurana, pois tais ameaas podem comprometer gravemente a
segurana do patrimnio tecnolgico da empresa como um todo. As ameaas internas podem
ser consideradas como o risco nmero um segurana dos recursos computacionais. contra
essas ameaas que a Segurana da Informao se prope.
Ameaa a causa potencial de um incidente indesejado, que pode resultar em dano
para um sistema ou organizao (ISO/IEC 13335-1:2004).
Segundo Moreira (2001), ameaas so fatores/ocorrncias que podem violar
sistemas e causar incidentes de segurana e, dessa forma, danos aos negcios da empresa.
Para Soares et al. (1995), ameaa uma possvel violao da segurana de um
sistema. Segundo os mesmos autores, existem os seguintes tipos de ameaas:

Destruio de informao ou de outros recursos;

Modificao ou deturpao da informao;

Roubo ou perda da informao;

Revelao da informao;

Interrupo de servios.

J para Salgado et al. (2004), uma lista das ameaas de segurana fsica poderia
conter os seguintes itens:

Incndio (fogo e fumaa);

gua (vazamentos, corroso, enchentes);

Tremores e abalos ssmicos;

Tempestades, furaces;

Terrorismo;

Sabotagem e vandalismo;

Exploses;

Roubos, furtos;

Desmoronamento de construes;

Materiais txicos;

24

Interrupo de energia (bombas de presso, ar-condicionado, elevadores);

Interrupo de comunicao (links, voz, dados);

Falhas em equipamentos;

Outros.

2.5 Ataques

Segundo Barbosa (2004), um dos problemas mais comuns segurana a m

configurao dos hosts, que acontece devido configurao default do sistema, que deixa
muito a desejar, ou devido instalao e habilitao de servios de forma indiscriminada.
Ainda segundo o mesmo autor, um outro problema so as falhas inerentes aos
sistemas onde a culpa geralmente colocada nos fabricantes, por que seus sistemas possuem
vulnerabilidades e falhas, quando no deveriam ter. As falhas, os bugs e as vulnerabilidades
sempre iro existir, ento cabe a ns mantermo-nos atualizados quanto ao lanamento de
correes, patches e updates.
Conforme Honrio (2003), os ataques podem ser intencionais ou acidentais,
podendo ser ativos ou passivos.

Acidentais: So os ataques que no tem inteno, no foi planejado anteriormente.

Intencionais: So os ataques que tem inteno, foi planejado anteriormente.

Passivos: So os ataques que no interferem na informao, no fluxo no canal de

escuta.

Ativos: So os ataques que interferem no fluxo normal de informaes alterando o seu

contedo, normalmente contra o intuito de alterar o sistema de segurana de uma
empresa.

2.5.1 Principais ataques

Quanto mais protegido o computador, melhor. Desta forma, fica mais difcil sofrer
um ataque. So diversos os tipos de ataque.

25
A seguir, so enumeradas as principais formas de ataques. So elas:

Vrus: So pequenos programas que tm a propriedade de se juntar a outros arquivos,

alterar seu funcionamento normal e se reproduzir, contaminando outros arquivos. Em
princpio um vrus poderia contaminar qualquer arquivo. No entanto, s faz sentido
contaminarem executveis, uma vez que estes so carregados e executados na
memria (BARBOSA, 2004);

Trojans ou Cavalos de Tria: Assim como na histria, so falsos presentes enviados

s vtimas, geralmente via e-mail, ou seja, programas disfarados que, ao serem
executados, efetuam tarefas malgnas, tais como capturas de senhas e outros dados
sigilosos. A principal diferena entre os Trojans e os Vrus que o primeiro no se
reproduz ou se replica, ele s executado e propagado atravs de interveno humana
(BARBOSA, 2004) e (HONRIO, 2003);

Worms: So programas que aproveitam falhas do sistemas para se propagar, e se

replicar. Ao contrrio dos trojans, os worms no contaminam arquivos. O Primeiro
worm que se tem notcia foi criado por Robert Morris, em 1988. Este programa
aproveitaria uma falha do finger daemon do UNIX e do sendmail. Mais o worm de
Morris tinha um bug que o fazia reinfectar mquinas j contaminadas. Isso provocou a
queda de vrios computadores no EUA (BARBOSA, 2004);

Sniffers: Os sniffings so programas que verificam o trfego na rede, so teis para o

gerenciamento de rede e, nas mos dos hackers, so bons para roubarem senhas e
informaes sigilosas. O sniffing uma invaso passiva, na qual uma mquina
diferente do destino pretende ter informaes que se percorrem na rede, um ataque
muito difcil de ser detectado. Contudo o sniffing no pode ser considerado um ataque
porque so usados para diagnosticar problemas na rede de uma empresa (HONRIO,
2003);

Exploit: Programa criado para explorar uma falha de segurana de um sistema. Pode
servir para obter acesso indevido ou tirar o sistema do ar (ANDRADE, 2005);

Honeypot (Pote de Mel): Armadilha para hackers. Configura-se um computador para

servir de isca, deixando brechas para a invaso. Os softwares instalados coletam
informaes sobre o invasor que so, depois, usadas para reforar as defesas
(ANDRADE, 2005);

Estouro de Buffer (Buffer Overflow): Um tipo de ataque que faz com que um
programa invada o final de uma rea de armazenamento de dados. O resultado que o

26
invasor pode sobrescrever parte do programa e executar seu cdigo. Isso um
problema principalmente com software escrito em C e C ++. Outras linguagens como
Java esto imunes a ele (ANDRADE, 2005);

Rootkit: uma coleo de softwares projetados para no deixar pistas de um invasor

e fornecer portas de fundo para futuras invases no sistema, normalmente tambm
contm limpadores de log. A defesa feita de um software de avaliao de
integridade, mas se o Rootkit atacar o Kernel (Ncleo do Sistema) a defesa a
preveno atravs de scanners de Rootkit, ou seja, fazer uma varredura no sistema a
procura de Rootkit (ANDRADE, 2005);

Spoofing: o ato de usar uma mquina para personificar outra. Isso feito forjando o
endereo de origem de um ou mais hosts empenhados na autenticao das mquinas
individualmente. Para realizar uma sesso bem sucedida de spoofing, alguns crakers
temporariamente matam ou anestesiam a mquina que eles esto personificando
(ANDRADE, 2005). O IP Spoofing uma tcnica na qual o endereo real do atacante
mascarado, de forma a evitar que ele seja encontrado (NAKAMURA; GEUS, 2003);

Scanners de portas: Os scanners so programas que buscam portas TCP abertas por
onde pode ser feita uma invaso. Para que a varredura no seja percebida pela vtima,
alguns scanners testam as portas de um computador durante muitos dias em horrios
aleatrios. Um dos mais conhecidos o Nmap, existe tambm outro tipo de Scanner
chamado

scanner

de

vulnerabilidades

que

so

capazes

de descrever as

vulnerabilidades nos servios oferecidos pelas portas dos computadores, um dos mais
famoso o Nessus (ANDRADE, 2005);

Denial of service (DoS): Ataque que consiste em sobrecarregar um servidor com uma
quantidade excessiva de solicitaes de servios. H muitas variantes como os ataques
distribuidos de negao de servio (DDoS) que paralisam vrios sites ao mesmo
tempo. Nessa variante, o agressor invade muitos computadores e instala neles um
software zumbi. Quando recebem a ordem para iniciar o ataque, os zumbis
bombardeiam o servidor alvo, tirando-o do ar (ANDRADE, 2005);

Ping Of Death: (Ping da Morte) Consiste em enviar um pacote IP com tamanho maior
que o mximo permitido (65.535 bytes), para a mquina que se deseja atacar. O pacote
enviado na forma de fragmentos (a razo que nenhum tipo de rede permite o
trfego de pacotes deste tamanho) e quando a mquina destino tenta montar estes
fragmentos, inmeras situaes podem ocorrer: a maioria da mquinas trava, algumas

27
reinicializam, outras abortam e mostram mensagens de erro. Praticamente todas as
plataformas eram afetadas por este ataque, e todas as que no tiveram correes de
segurana instalados, ainda o so vulnerveis. Este ataque recebeu o nome de Ping da
Morte porque as primeiras ocorrncias deste ataque foram a partir do programa ping,
entretanto, qualquer pacote IP com mais de 65.535 bytes (pacote invlido) provoca o
mesmo efeito (ANDRADE, 2005);

Engenharia Social: a tcnica que explora as fraquezas humanas e sociais, em vez

de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas
assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras
informaes que possam comprometer a segurana da organizao (NAKAMURA;
GEUS, 2003).

2.6 Estatsticas que justificam o investimento em segurana

Algumas estatsticas sero mostradas aqui, com o objetivo de demonstrar o quanto

a Segurana da Informao importante, principalmente nas grandes organizaes. Tais
estatsticas retratam o cenrio existente, tal cenrio tem se mostrado em pleno crescimento
nos ltimos anos, e para reverter este quadro, deve-se aplicar a Segurana da Informao em
sua plenitude.
A Figura 3 a seguir, demonstra bem o cenrio atual. Este grfico foi baseado em
um questionrio aplicado durante a 10 Pesquisa de Segurana da Informao da Mdulo
(2006).

28

FIGURA 3 Principais ameaas Segurana.

Fonte: Mdulo (2006)

Segundo Mdulo (2006), a evoluo do mercado de tecnologia e a maior

conscientizao sobre a necessidade de investimentos em Segurana da Informao ajudaram
as empresas a estarem mais preparadas para enfrentar algumas falhas de segurana. No
entanto, ainda grande o nmero de companhias (33%) que no sabem quantificar as perdas
ou sequer identificar os responsveis pelo problema (21%). O motivo pode ser a falta de um
planejamento formal de segurana, que muitas destas empresas no possuem (35%) ou usam
h apenas um ano (31%).
Por conta desta dificuldade em apontar responsveis, as companhias acabam se
dedicando apenas a corrigir a falha (48%), quando descoberta, ou tomam providncias
internas (25%), acionando por conta prpria o causador do problema.
Quando conseguem identificar os responsveis, as empresas descobrem que a
maioria das falhas de segurana causada por funcionrios (24%) e hackers (20%) e que
problemas como vrus (15%), spam (10%) e fraudes (8%) so os que mais causam danos
financeiros. E os prejuzos por conta destes problemas continuam considerveis. No entanto,

29
pelo modesto percentual - apenas 2% - nota-se que as empresas ainda no percebem que a no
conformidade com a nova Legislao especfica para rea de segurana uma possvel causa
de perdas financeiras.
Para o futuro, a expectativa dos gestores que aumentem os problemas
relacionados Segurana da Informao (77%) e as companhias acreditam que podem
enfrentar problemas com vrus (10%), spam (11%), vazamento de informaes (7%) e acesso
remoto indevido (7%), entre outros.
A maioria (55%) considera a falta de conscientizao dos executivos e usurios o
principal obstculo para a implementao da segurana na empresa, seguido pela falta de
oramento (28%). E o maior motivador para a tomada de decises visando a segurana o
nvel de conscincia dos executivos e usurios (31%), segundo os pesquisados. A imagem da
empresa no mercado (23%) e o valor agregado aos produtos e negcios (19%) tambm
influenciam.

2.7 Snteses de trabalhos que versam sobre segurana da informao

Nesse item realizei o estudo de 5 monografias que tem como principal assunto
Segurana da Informao, abordando diversas tpicos como: Riscos, Principais Polticas e
Normas de Segurana, Leis, Ameaas e Vulnerabilidades, Hackers, Certificados Digitais,
dentre outros assuntos pertinentes ao tema Segurana da Informao.

2.7.1 Trabalho 1: Uma abordagem sobre poltica da segurana da informao

implantada.

Monografia apresentada por Danilo Muniz Barreto no curso de Tecnologia em

Informtica com nfase em Gesto de Negcios para obter o ttulo de Tecnlogo em
Informtica com nfase em Gesto de Negcios na Faculdade de Tecnologia da Zona Leste
em So Paulo, sob a orientao do Professor Leandro Colevati dos Santos. Assunto: Uma
abordagem sobre poltica da segurana da informao implantada.

30
Nesse trabalho o autor abordou como funciona e como criada e implantada uma
Poltica de Segurana da Informao em uma empresa, citando e descrevendo rapidamente
algumas normas de Segurana da Informao como, NBR ISO/IEC 27001:2005, Cobit e ITIL.
Abordando mais amplamente as formas de ataques, ameaas e vulnerabilidades que uma
empresa hoje em dia corre o risco, porm focando em um estudo de caso de uma empresa de
grande porte no ramo de papel e celulose, focando em seu setor de TI, mais especificamente
no de Segurana da Informao, analisando como funciona sua Poltica de Segurana da
Informao

2.7.2 Trabalho 2: Segurana da informao na rede interna com certificados

digitais e seus aspectos legais.

Monografia apresentada por Ricardo Brito do Nascimento ao Departamento de

Cincia da Computao da Universidade de Braslia como requisito parcial para a obteno
do ttulo de Especialista em Cincia da Computao: Gesto da Segurana da Informao e
Comunicaes, sob a orientao da Professora Maristela Terto de Holanda. Assunto:
Segurana da Informao na Rede Interna com Certificados Digitais e seus Aspectos Legais.
Nesse trabalho o autor visa apresentar uma metodologia como forma de mitigar
consideravelmente o risco relacionado ao vazamento de informao aplicando os recursos
legais e tecnolgicos. Utilizando como fundamentao terica Segurana de Dados,
descrevendo detalhadamente procedimentos de Criptologia (abordando a Criptografia de
Chave Pblica e seus padres, Certificados de Chave Pblica e a Certificao Digital),
Ameaas e Vulnerabilidades, Engenharia Social, Polticas de Segurana da Informao e
Legislaes Brasileiras relacionada Segurana da Informao e das Comunicaes.

2.7.3 Trabalho 3: Hackers. Como se proteger?

Monografia apresentada por Paulo Henrique Arajo Honrio ao Curso de Cincia

da Computao do Centro Universitrio do Tringulo Unit em Uberlndia, como requisito

31
bsico obteno do grau de Bacharel em Cincia da Computao, sob a orientao do
Professor Clayder Cristiam Colho. Assunto: Hackers. Como se proteger?
Nesse trabalho o autor visa mostrar como obter uma segurana confivel e
satisfatria para se proteger de Hackers, dando uma breve descrio de Segurana em Redes e
focando em dois pontos, o primeiro detalha os Hackers (Interesses, Tipos, ticas,
Motivaes), Tipos de Ataques e Mtodos de Proteo e o segundo detalha a Invaso em
Sistemas Operacionais (ambientes de testes, invases, propostas para minimizar as invases).
Mostrando que para se ter uma segurana satisfatria necessrio primeiramente ter
conhecimento e uma boa poltica de proteo aplicada ao seu ambiente.

2.7.4 Trabalho 4: Poltica de segurana da informao para redes corporativas.

Monografia apresentada Csar Adriano Bauer ao Curso de Cincia da Computao

do Centro Universitrio Feevale em Novo Hamburgo, como requisito bsico para obter o
ttulo de Bacharel em Cincia da Computao, sob a orientao do Professor Marcelo
Iserhardt Ritzel. Assunto: Poltica de Segurana da Informao para Redes Corporativas.
Nesse trabalho o autor visa mostra que j no basta ter um Firewall e ter os
servios bem implementados para se manter a rede segura, se faz necessrio a conscientizao
e participao dos demais funcionrios da organizao. Com isso detalha conceitos de ativos,
segurana fsica e da informao, polticas, riscos, ameaas, vulnerabilidades, recursos para
defesa da rede e sugere um modelo para o incio de uma boa gesto da segurana na
organizao.

2.7.5 Trabalho 5: COBIT, ITIL e ISO/IEC 27002 melhores prticas para

governana de tecnologia da informao.

Monografia apresentada por Alexandre Cavalcante Alencar ao curso de Cincia da

Computao da Faculdade Loureno Filho em Fortaleza, como requisito parcial para obteno
do ttulo de Bacharel em Cincia da Computao, sob a orientao do Professor Jos Alzir

32
Bruno Falco. Assunto: COBIT, ITIL e ISO/IEC 27002 Melhores Prticas para Governana
de Tecnologia da Informao.
Nesse trabalho o autor tem como principal inteno fornecer uma viso geral das
melhores prticas existentes. Dando uma breve descrio de Gerenciamento de Servios em
TI e Segurana da Informao. Detalhando minuciosamente as metodologias ITIL, COBIT e
ISO/IEC 27002. Mostrando tambm que embora algumas das melhores prticas sejam
adequadas h uma determinada organizao, ao mesmo tempo podem no ser apropriadas h
outra organizao, mostrando que se deve levar em conta o conhecimento sobre o
funcionamento da empresa onde se pretende utiliz-las, de forma que se possam gerar
oportunidades de melhoria, resultando em ganhos reais para o negcio.

2.7.6 Trabalho 6: Segurana como estratgia de gesto da informao.

Artigo escrito por Marcos Aurelio Pchek Laureano e Paulo Eduardo Sobreira
Moraes e publicado na Revista Economia & Tecnologia. Assunto: Segurana como estratgia
de gesto da informao.
Nesse artigo os autores analisam a prtica da segurana como estratgia de gesto
da informao. Explica a relao entre estratgia e segurana no que diz respeito a dados e
gesto da informao. Discute-se a segurana como atitude inerente aos processos de gesto
da informao com isso s organizaes ganha maior controle sobre os dados relevantes e
uma conformao maior com os mecanismos de tomada de deciso e confidencialidade dentro
das instituies.

33

2.8 Normas para Segurana da Informao

A ISO uma organizao internacional formada por um conselho e comits com

membros oriundos de vrios pases. Seu objetivo criar normas e padres universalmente
aceitos sobre a realizao de atividades comerciais, industriais, cientficas e tecnolgicas. A
IEC uma organizao voltada ao aprimoramento da indstria da informao (FERREIRA e
ARAJO, 2006).
Conforme a Norma ABNT NBR ISO/IEC 27002 (2005), a Associao Brasileira
de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de
Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias
(ABNT/CEET), so elaboradas por Comisses de Estudo (CE), formadas por representantes
dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros
(universidades, laboratrios e outros).
Segundo Ferreira e Arajo (2006), em dezembro de 2000 a ABNT (Associao
Brasileira de Normas Tcnicas) tambm resolveu acatar a norma ISO como padro brasileiro
sendo publicada em 2001 como: ABNT NBR 17799 Cdigo de Prtica para a Gesto da
Segurana da Informao. O importante que a partir dessa publicao passamos a ter um
referencial de aceitao internacional.
No segundo semestre de 2005 foi lanada a nova verso da norma, a norma ISO /
IEC 17799:2005, que cancela e substitui a edio anterior.
A partir de 2007, a nova edio da ISO/IEC 17799 foi incorporada ao novo
esquema de numerao como ISO/IEC 27002. Segundo a ABNT esta edio da ABNT NBR
ISO/IEC 27002 tem seu contedo tcnico idntico ao da verso corrigida de 02.07.2007 da
ABNT NBR ISO/IEC 17799:2005.

34

2.8.1 Norma ABNT NBR ISO/IEC 27002:2005

Segundo a ABNT NBR ISO/IEC 17799 (2005), a ABNT NBR ISO/IEC 17799 foi
elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21),
pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005,
com o nmero de Projeto NBR ISO/IEC 17799. Esta Norma equivalente ISO/IEC
17799:2005. Hoje publicada com a nomeclatura de ABNT NBR ISO/IEC 27002.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI)
est sendo desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos
de sistema de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e
diretrizes para implementao. Esta famlia adotar um esquema de numerao usando a srie
de nmeros 27000 em seqncia.

2.8.1.1 Objetivos

O objetivo da Norma ABNT NBR ISO 27002:2005 segundo a prpria ABNT

NBR ISO/IEC 27002 (2005), estabelecer diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana da informao em uma organizao.
Os objetivos definidos na norma provem diretrizes gerais sobre as metas geralmente aceitas
para a gesto da segurana da informao.
Os objetivos de controle e os controles tm como finalidade ser implementados
para atender aos requisitos identificados por meio da anlise/avaliao de riscos. A norma
pode servir como um guia prtico para desenvolver os procedimentos de segurana da
informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a
criar confiana nas atividades interorganizacionais.

35

2.8.1.2 Abrangncia

A ABNT NBR ISO 27002:2005 contm 11 sees de controles de segurana da

informao, que juntas totalizam 39 categorias principais de segurana e uma seo
introdutria que aborda a anlise/avaliao e o tratamento de riscos.
Cada seo contm um nmero de categorias principais de segurana da
informao. As 11 sees (acompanhadas com o respectivo nmero de categorias) so:

Poltica de Segurana da Informao (1 categoria);

Organizando a Segurana da Informao (2 categorias);

Gesto de Ativos (2 categorias);

Segurana em Recursos Humanos (3 categorias);

Segurana Fsica e do Ambiente (2 categorias);

Gesto das Operaes e Comunicaes (10 categorias);

Controle de Acesso (7 categorias);

Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6 categorias);

Gesto de Incidentes de Segurana da Informao (2 categorias);

Gesto da Continuidade do Negcio (1 categoria);

Conformidade (3 categorias).
A ordem das sees no significa o seu grau de importncia. Dependendo das

circunstncias, todas as sees podem ser importantes. Entretanto, cada organizao que
utilize a norma deve identificar quais as sees aplicveis, quo importante elas so e a sua
aplicao para os processos especficos do negcio. Todas as alneas na NBR ISO
27002:2005 tambm no esto ordenadas por prioridade, a menos que explicitado (ABNT
NBR ISO/IEC 27002, 2005).

2.8.1.3 Importncia

No de hoje a necessidade de proteger as informaes sigilosas nas empresas.

Contudo, devido disponibilidade de novas tecnologias e a exigncia do mercado por um

36
maior e mais rpido acesso s informaes, a preocupao em relao ao sigilo e a segurana
da informao aumentou.
A Norma ABNT NBR ISO/IEC 27002:2005 permite que uma empresa construa de
forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes.
Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para
pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opes so
caras e demoradas (INFORMABR, 2007).
Ela serve como referncia para a criao e implementao de prticas de segurana
reconhecidas internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles.
um conjunto completo de recomendaes para: Gesto da Segurana da Informao e
Controles e Prticas para a Segurana da Informao.

2.8.2 Norma ISO/IEC FDIS 27001:2005

A Norma ISO/IEC FDIS 27001:2005 cobre todos os tipos de organizaes (por

exemplo, empreendimentos comerciais, agncias governamentais, organizaes sem fins
lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar,
monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de
negcio globais da organizao.
Especifica requisitos para a implementao de controles de segurana
customizados para as necessidades individuais de organizaes ou suas partes.
O SGSI projetado para assegurar a seleo de controles de segurana adequados
para proteger os ativos de informao e proporcionar confiana s partes interessadas
(VANZOLINE, 2007).

37

2.9 Segurana Fsica e do Ambiente de acordo com a Norma ABNT NBR

ISO/IEC 27002:2005

Segundo Ferreira e Arajo (2006), o papel da rea de segurana nos negcios tem
se tornado diferencial competitivo, pois embora alguns acreditem ser burocracia, podemos
considerar que os controles aumentam de forma significativa a capacidade da organizao no
estar to exposta a perdas financeiras provenientes de fraudes, erros de processamentos, entre
outras possibilidades.
O estabelecimento da Poltica de Segurana da Informao somente o estgio
inicial do processo de mudana de cultura quanto ao tema, sendo assim, a preparao de
polticas para o estabelecimento de um ambiente seguro somente se efetiva por meio do
comprometimento de seus profissionais e do desenvolvimento de processos que utilizam
tecnologias e prticas aderentes poltica.
A norma ABNT NBR ISO/IEC 27002 sugere que uma consultoria especializada
seja envolvida, a fim de auxiliar no entendimento de tais requerimentos particulares, em cada
organizao (FERREIRA e ARAJO, 2006).

2.9.1 reas seguras

De acordo com a ABNT NBR ISO/IEC 27002 (2005), o objetivo de uma rea
Segura prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e
informaes da organizao.
Convm que as instalaes de processamento da informao crticas ou sensveis
sejam mantidas em reas seguras, protegidas por permetros de segurana definidos, com
barreiras de segurana e controles de acesso apropriados. Convm ainda, que sejam
fisicamente protegidas contra o acesso no autorizado, danos e interferncias.
Tambm, a proteo oferecida deve ser compatvel com os riscos identificados.
Ferreira e Arajo (2006), dizem que a funo bsica da rea de Segurana da
Informao proteger o ativo de informao, minimizando os riscos a nveis aceitveis. Em

38
algumas organizaes, esta rea tambm responsvel pela elaborao do plano de
continuidade do negcio.

2.9.2 Permetro de segurana fsica

A segurana em tecnologia da informao pode ser compreendida por dois

principais aspectos: segurana lgica e segurana fsica. A segurana fsica desempenha um
papel to importante quanto a segurana lgica, porque a base para a proteo de qualquer
investimento feito por uma organizao. Investir em diferentes aspectos da segurana sem
observar suas devidas prioridades pode ocasionar uma perda de todos os recursos investidos
em virtude de uma falha nos sistemas mais vulnerveis (FERREIRA e ARAJO, 2006).
Convm que sejam utilizados permetros de segurana (barreiras tais como
paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas)
para proteger as reas que contenham informaes e instalaes de processamento da
informao (ABNT NBR ISO/IEC 27002, 2005).
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes
devem ser levadas em considerao e implementadas para permetros de segurana fsica,
quando apropriado. So elas:

Os permetros de segurana sejam claramente definidos e que a localizao e a

capacidade de resistncia de cada permetro dependam dos requisitos de segurana dos
ativos existentes no interior do permetro, e dos resultados da anlise/avaliao de
riscos;

Os permetros de um edifcio ou de um local que contenha instalaes de

processamento da informao sejam fisicamente slidos (ou seja, o permetro no
deve ter brechas nem pontos onde poderia ocorrer facilmente uma invaso); convm
que as paredes externas do local sejam de construo robusta e todas as portas
externas sejam adequadamente protegidas contra acesso no autorizado por meio de
mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convm que as
portas e janelas sejam trancadas quando estiverem sem monitorao, e que uma
proteo externa para as janelas seja considerada, principalmente para as que
estiverem situadas no andar trreo;

39

Seja implantada uma rea de recepo, ou um outro meio para controlar o acesso
fsico ao local ou ao edifcio; o acesso aos locais ou edifcios deve ficar restrito
somente ao pessoal autorizado;

Sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no
autorizado e a contaminao do meio ambiente;

Todas as portas corta-fogo do permetro de segurana sejam providas de alarme,

monitoradas e testadas juntamente com as paredes, para estabelecer o nvel de
resistncia exigido, de acordo com normas regionais, nacionais e internacionais
aceitveis; elas devem funcionar de acordo com os cdigos locais de preveno de
incndios e preveno de falhas;

Sistemas adequados de deteco de intrusos, de acordo com normas regionais,

nacionais e internacionais, sejam instalados e testados em intervalos regulares, e
cubram todas as portas externas e janelas acessveis; as reas no ocupadas devem ser
protegidas por alarmes o tempo todo; tambm deve ser dada proteo a outras reas,
por exemplo, salas de computadores ou salas de comunicaes;

As instalaes de processamento da informao gerenciadas pela organizao devem

ficar fisicamente separadas daquelas que so gerenciadas por terceiros.

Abaixo, segue algumas informaes adicionais sugeridas pela Norma ABNT NBR
ISO/IEC 27002 (2005):

Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das
instalaes e dos recursos de processamento da informao da organizao. O uso de
barreiras mltiplas proporciona uma proteo adicional, uma vez que neste caso a
falha de uma das barreiras no significa que a segurana fique comprometida
imediatamente.

Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por
uma barreira fsica interna contnua de segurana. Pode haver necessidade de barreiras
e permetros adicionais para o controle do acesso fsico, quando existem reas com
requisitos de segurana diferentes dentro do permetro de segurana.

Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no
caso de edifcios que alojam diversas organizaes.

40

2.9.3 Controles de entrada fsica

Qualquer acesso s dependncias da organizao, desde reas de trabalho at

quelas consideradas crticas (onde ocorre o processamento de informaes crticas e
confidenciais) deve ser controlado sempre fazendo necessria sua formalizao (FERREIRA
e ARAJO, 2006).
Segundo a ABNT NBR ISO/IEC 27002 (2005), convm que as reas seguras
sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.
As seguintes diretrizes para implementao devem ser levadas em considerao:

A data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes

sejam supervisionados, a no ser que o seu acesso tenha sido previamente aprovado;
convm que as permisses de acesso sejam concedidas somente para finalidades
especficas e autorizadas, e sejam emitidas com instrues sobre os requisitos de
segurana da rea e os procedimentos de emergncia;

Acesso s reas em que so processadas ou armazenadas informaes sensveis seja

controlado e restrito s pessoas autorizadas; convm que sejam utilizados controles de
autenticao, por exemplo, carto de controle de acesso mais PIN (personal
identification number), para autorizar e validar todos os acessos; deve ser mantido de
forma segura um registro de todos os acessos para fins de auditoria;

Seja exigido que todos os funcionrios, fornecedores e terceiros, e todos os visitantes,

tenham alguma forma visvel de identificao, e eles devem avisar imediatamente o
pessoal de segurana caso encontrem visitantes no acompanhados ou qualquer pessoa
que no esteja usando uma identificao visvel;

Aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas
seguras ou s instalaes de processamento da informao sensvel somente quando
necessrio; este acesso deve ser autorizado e monitorado;

Os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos

regulares, e revogados quando necessrio.

41

2.9.4 Segurana em escritrios, salas e instalaes

Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de
um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios
fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana levem em
considerao as possibilidades de dano causado por fogo, inundaes, exploses,
manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm
que tambm sejam levados em considerao as regulamentaes e padres de segurana e
sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por
exemplo vazamento de gua de outras reas (SALGADO et al., 2004).
Segundo a ABNT NBR ISO/IEC 27002 (2005), deve ser projetada e aplicada
segurana fsica para escritrios, salas e instalaes.
As seguintes diretrizes devem ser levadas em considerao para proteger
escritrios, salas e instalaes:

Sejam levados em conta os regulamentos e normas de sade e segurana aplicveis;

As instalaes-chave sejam localizadas de maneira a evitar o acesso do pblico;

Os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem
letreiros evidentes, fora ou dentro do edifcio, que identifiquem a presena de
atividades de processamento de informaes, quando for aplicvel;

As listas de funcionrios e guias telefnicos internos que identifiquem a localizao

das instalaes que processam informaes sensveis no fiquem facilmente acessveis
ao pblico.

2.9.5 Proteo contra ameaas externas e do meio ambiente

Segundo a norma ABNT NBR ISO/IEC 27002 (2005), convm que sejam
projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses,
perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.

42
Todas as ameaas segurana representadas por instalaes vizinhas, por
exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do
subsolo ou uma exploso na rua, devem ser levadas em considerao.
Convm que sejam levadas em considerao as seguintes diretrizes para evitar
danos causados por incndios, enchentes, terremotos, exploses, perturbaes da ordem
pblica e outras formas de desastres naturais ou causados pelo homem:

Os materiais perigosos ou combustveis sejam armazenados a uma distncia segura da

rea de segurana. Suprimentos em grande volume, como materiais de papelaria, no
devem ser armazenados dentro de uma rea segura;

Os equipamentos para contingncia e mdia de backup fiquem a uma distncia segura,

para que no sejam danificados por um desastre que afete o local principal;

Os equipamentos apropriados de deteco e combate a incndios sejam

providenciados e posicionados corretamente.

2.9.6 Trabalhando em reas seguras

Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o
trabalho em reas seguras (ABNT NBR ISO/IEC 27002, 2005).
Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser
levadas em considerao:

Pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas

realizadas, apenas se for necessrio;

Seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de

segurana como para prevenir as atividades mal intencionadas;

As reas seguras no ocupadas sejam fisicamente trancadas e periodicamente

verificadas;

No seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou

de outros equipamentos de gravao, tais como cmeras em dispositivos mveis, salvo
se for autorizado.

43
As normas para o trabalho em reas seguras incluem o controle dos funcionrios,
fornecedores e terceiros que trabalham em tais reas, bem como o controle de outras
atividades de terceiros nestas reas.

2.9.7 Acesso do pblico, reas de entrega e de carregamento

Segundo a NBR ISO/IEC 27002 (2005), convm que os pontos de acesso, tais
como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas
possam entrar nas instalaes, sejam controlados e, se possvel, isolados das instalaes de
processamento da informao, para evitar o acesso no autorizado.
Convm que sejam levadas em considerao as seguintes diretrizes (NBR ISO/IEC
27002, 2005):

Acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique

restrito ao pessoal identificado e autorizado;

As reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel
descarregar suprimentos sem que os entregadores tenham acesso a outras partes do
edifcio;

As portas externas de uma rea de entrega e carregamento sejam protegidas enquanto

as portas internas estiverem abertas;

Os materiais entregues sejam inspecionados para detectar ameaas potenciais antes de

serem transportados da rea de entrega e carregamento para o local de utilizao;

Os materiais entregues sejam registrados por ocasio de sua entrada no local, usandose procedimentos de gerenciamento de ativos;

As remessas entregues sejam segregadas fisicamente das remessas que saem, sempre
que possvel.

44

2.9.8 Segurana de equipamentos

Segundo a ABNT NBR ISO/IEC 27002 (2005), o objetivo do item Segurana de

Equipamentos impedir perdas, danos, furto ou comprometimento de ativos e interrupo das
atividades da organizao.
Os equipamentos devem ser protegidos contra ameaas fsicas e do meio ambiente.
A proteo dos equipamentos (incluindo aqueles utilizados fora do local, e a
retirada de ativos) necessria para reduzir o risco de acesso no autorizado s informaes e
para proteger contra perdas ou danos.
Tambm deve ser levada em considerao a introduo de equipamentos no local,
bem como sua remoo. Podem ser necessrios controles especiais para a proteo contra
ameaas fsicas e para a proteo de instalaes de suporte, como a infra-estrutura de
suprimento de energia e de cabeamento.

2.9.9 Instalao e proteo do equipamento

Segundo a ABNT NBR ISO/IEC 27002 (2005), importante que os equipamentos

sejam colocados no local ou protegidos para reduzir os riscos de ameaas e perigos do meio
ambiente, bem como as oportunidades de acesso no autorizado.
Devem ser levadas em considerao as seguintes diretrizes para proteger os
equipamentos:

Os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessrio

s reas de trabalho;

As instalaes de processamento da informao que manuseiam dados sensveis sejam

posicionadas de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de
que as informaes sejam vistas por pessoal no autorizado durante a sua utilizao, e
os locais de armazenagem sejam protegidos, a fim de evitar o acesso no autorizado;

Os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de
proteo necessrio;

45

Sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais
como furto, incndio, explosivos, fumaa, gua (ou falha do suprimento de gua),
poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica,
interferncia com as comunicaes, radiao eletromagntica e vandalismo;

Sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalaes de processamento da informao;

As condies ambientais, como temperatura e umidade, sejam monitoradas para a

deteco de condies que possam afetar negativamente os recursos de processamento
da informao;

Todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada
de fora e de comunicaes tenham filtros de proteo contra raios;

Para equipamentos em ambientes industriais, o uso de mtodos especiais de proteo,

tais como membranas para teclados, deve ser considerado;

Os equipamentos que processam informaes sensveis sejam protegidos, a fim de

minimizar o risco de vazamento de informaes em decorrncia de emanaes.

2.9.10 Utilidades

Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ser
protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das
utilidades.
Convm que todas as utilidades, tais como suprimento de energia eltrica,
suprimento de gua, esgotos, calefao/ventilao e ar-condicionado sejam adequados para os
sistemas que eles suportam. Convm que as utilidades sejam inspecionadas em intervalos
regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir
os riscos de defeitos ou interrupes do funcionamento. Convm que seja providenciado um
suprimento adequado de energia eltrica, de acordo com as especificaes do fabricante dos
equipamentos.
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para suportar as
paradas e desligamento dos equipamentos ou para manter o funcionamento contnuo dos
equipamentos que suportam operaes crticas dos negcios. Convm que hajam planos de

46
contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS.
Convm que seja considerado um gerador de emergncia caso seja necessrio que o
processamento continue mesmo se houver uma interrupo prolongada do suprimento de
energia. Convm que esteja disponvel um suprimento adequado de combustvel para garantir
a operao prolongada do gerador. Convm que os equipamentos UPS e os geradores sejam
verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e
sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser
considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o
local for grande.
Convm que as chaves de emergncia para o desligamento da energia fiquem
localizadas na proximidade das sadas de emergncia das salas de equipamentos, para facilitar
o desligamento rpido da energia em caso de uma emergncia. Convm que seja
providenciada iluminao de emergncia para o caso de queda da fora.
Convm que o suprimento de gua seja estvel e adequado para abastecer os
equipamentos de arcondicionado e de umidificao, bem como os sistemas de extino de
incndios (quando usados). Falhas de funcionamento do abastecimento de gua podem
danificar o sistema ou impedir uma ao eficaz de extino de incndios. Convm que seja
analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das
utilidades, instalando os alarmes, se necessrio.
Convm que os equipamentos de telecomunicaes sejam conectados rede
pblica de energia eltrica atravs de pelo menos duas linhas separadas, para evitar que a
falha de uma das conexes interrompa os servios de voz. Convm que os servios de voz
sejam adequados para atender s exigncias legais locais relativas a comunicaes de
emergncia.
Abaixo, segue algumas informaes adicionais:
As opes para assegurar a continuidade do suprimento de energia incluem
mltiplas linhas de entrada, para evitar que uma falha em um nico ponto comprometa o
suprimento de energia.

47

2.9.11 Segurana do cabeamento

Segundo a ABNT NBR ISO/IEC 27002 (2005), o cabeamento de energia e de

telecomunicaes que transportam dados ou d suporte aos servios de informaes deve ser
protegido contra interceptao ou danos.
As seguintes diretrizes para a segurana do cabeamento devem ser levadas em
considerao:

As linhas de energia e de telecomunicaes que entram nas instalaes de

processamento da informao sejam subterrneas (ou fiquem abaixo do piso), sempre
que possvel, ou recebam uma proteo alternativa adequada;

Cabeamento de redes seja protegido contra interceptao no autorizada ou danos, por

exemplo, pelo uso de condutes ou evitando trajetos que passem por reas pblicas;

Os cabos de energia sejam segregados dos cabos de comunicaes, para evitar

interferncias;

Nos cabos e nos equipamentos, sejam utilizadas marcaes claramente identificveis,

a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental
conexes erradas em cabos da rede;

Seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de
erros;

Para sistemas sensveis ou crticos, os seguintes controles adicionais devem ser

considerados:

Instalao de condutes blindados e salas ou caixas trancadas em pontos de

inspeo e pontos terminais;

Uso de rotas alternativas e/ou meios de transmisso alternativos que

proporcionem segurana adequada (contigncia);

Utilizao de cabeamento de fibras pticas;

Utilizao de blindagem eletromagntica para a proteo dos cabos;

Realizao de varreduras tcnicas e inspees fsicas para detectar a presena

de dispositivos no autorizados conectados aos cabos;

Acesso controlado aos painis de conexes e s salas de cabos.

48

2.9.12 Manuteno dos equipamentos

Segundo a norma ABNT NBR ISO/IEC 27002 (2005), os equipamentos devem ter
uma manuteno correta para assegurar sua disponibilidade e integridade permanentes.
As seguintes diretrizes para a manuteno dos equipamentos devem ser levadas em
considerao:

A manuteno dos equipamentos seja realizada nos intervalos recomendados pelo

fornecedor, e de acordo com as suas especificaes;

A manuteno e os consertos dos equipamentos sejam realizados somente por pessoal

de manuteno autorizado;

Sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as

operaes de manuteno preventiva e corretiva realizadas;

Sejam implementados controles apropriados, na poca programada para a manuteno

do equipamento, dependendo de a manuteno ser realizada pelo pessoal do local ou
por pessoal externo organizao; onde necessrio, as informaes sensveis sejam
eliminadas do equipamento, ou o pessoal de manuteno seja de absoluta confiana;

Sejam atendidas todas as exigncias estabelecidas nas aplices de seguro.

2.9.13 Segurana de equipamentos fora das dependncias da organizao

Segundo a ABNT NBR ISO/IEC 27002 (2005), devem ser tomadas medidas de
segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos
decorrentes do fato de se trabalhar fora das dependncias da organizao.
Convm que, independentemente de quem seja o proprietrio, a utilizao de
quaisquer equipamentos de processamento de informaes fora das dependncias da
organizao seja autorizada pela gerncia.
As seguintes diretrizes para a proteo de equipamentos usados fora das
dependncias da organizao devem ser levadas em considerao:

Os equipamentos e suportes fsicos de dados removidos das dependncias da

organizao no fiquem sem superviso em lugares pblicos; os computadores

49
portteis sejam carregados como bagagem de mo e disfarados, sempre que possvel,
quando se viaja;

Sejam observadas a qualquer tempo as instrues do fabricante para a proteo do

equipamento, por exemplo, proteo contra a exposio a campos eletromagnticos
intensos;

Os controles para o trabalho em casa sejam determinados por uma anlise/avaliao de

riscos, sendo aplicados controles adequados para cada caso, por exemplo, arquivos
trancveis, poltica de "mesa limpa", controles de acesso a computadores, e
comunicao segura com o escritrio (ver ISO/IEC 18028 Network security);

Haja uma cobertura adequada de seguro para proteger os equipamentos fora das
dependncias da organizao.
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), os riscos de segurana, por

exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para

outro e devem ser levados em conta para determinar os controles mais apropriados.
Algumas informaes adicionais:

Os equipamentos de armazenagem e processamento de informaes incluem todas as

formas de computadores pessoais, agendas eletrnicas, telefones celulares, cartes
inteligentes, papis e outros tipos, utilizados no trabalho em casa, ou que so
removidos do local normal de trabalho (ABNT NBR ISO/IEC 27002, 2005).

2.9.14 Reutilizao e alienao segura de equipamentos

Segundo a ABNT NBR ISO/IEC 27002 (2005), todos os equipamentos que

contenham mdias de armazenamento de dados devem ser examinados antes do descarte, para
assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou
sobregravados com segurana.
Convm tambm que os dispositivos que contenham informaes sensveis sejam
destrudos fisicamente ou as informaes sejam destrudas, apagadas ou sobregravadas por
meio de tcnicas que tornem as informaes originais irrecuperveis, em vez de se usarem as
funes-padro de apagar ou formatar.
Algumas informaes adicionais:

50

No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser

necessria uma anlise/avaliao de riscos para determinar se convm destruir
fisicamente o dispositivo em vez de mand-lo para o conserto ou descart-lo.

As informaes podem ser comprometidas por um descarte feito sem os devidos

cuidados ou pela reutilizao do equipamento.

2.9.15 Remoo de propriedade

Convm que equipamentos, informaes ou software no sejam retirados do local

sem autorizao prvia (ABNT NBR ISO/IEC 27002, 2005).
Segundo a ABNT NBR ISO/IEC 27002 (2005), as seguintes diretrizes devem ser
levadas em considerao:

Os equipamentos, informaes ou software no sejam retirados do local sem

autorizao prvia;

Os funcionrios, fornecedores e terceiros que tenham autoridade para permitir a

remoo de ativos para fora do local sejam claramente identificados;

Sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a

devoluo seja controlada;

Sempre que necessrio ou apropriado, seja feito um registro da retirada e da devoluo

de equipamentos, quando do seu retorno.
Abaixo segue algumas informaes adicionais, tais informaes devem ser

observadas:

Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e
a existncia de equipamentos de gravao no autorizados, armas etc., e impedir sua
entrada no local. Convm que tais inspees aleatrias sejam feitas de acordo com a
legislao e as normas aplicveis. Convm que as pessoas sejam avisadas da
realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando
em conta as exigncias legais e regulamentares.

51

3 CHECKLIST PROPOSTO

A seguir pode ser verificado o Checklist genrico proposto para verificao da

Segurana Fsica baseado na Norma ABNT NBR ISO/IEC 27002:2005.
CHECK-LIST PROPOSTO PARA VERIFICAO DA SEGURANA FSICA
BASEADO NA NORMA ABNT NBR ISO/IEC 17799:2005

CHECKLIST PROPOSTO PARA VERIFICAO DA SEGURANA FSICA BASEADO NA NORMA ABNT NBR ISO/IEC 27002:2005

Item
1
1.1

Seo
Segurana Fsica e do Ambiente
reas de Segurana

1.1.1

Permetro da segurana fsica

1.1.2

Controles de entrada fsica

1.1.3

Segurana em escritrios, salas e instalaes de processamento

1.1.4

Trabalhando em reas seguras

1.1.5

Isolamento das reas de expedio e cargas

1.2

Segurana dos Equipamentos

1.2.1

Instalao e proteo dos equipamentos

1.2.2

Fornecimento de energia

1.2.3

Segurana do cabeamento

1.2.4

Manuteno de equipamentos

1.2.5

Segurana de equipamentos fora das dependncias da organizao

1.2.6

Reutilizao e alienao segura de equipamentos

1.3

Controles Gerais

1.3.1

Poltica de mesa limpa e tela limpa

1.3.2

Remoo de propriedade

Questes a auditar

Sim?

No?

Se barreiras fsicas, como recursos de segurana, foram implementadas para proteger o servio
de processamento da informao.
Alguns exemplos de tais recursos de segurana so o controle por carto do porto de entrada,
muros, presena de um funcionrio na recepo, etc.
Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro
de vrias reas da organizao.
Se as salas, que possuem o servio de processamento de informao ou contm armrios
fechados ou cofres, so trancadas.
Se o servio de processamento de informao protegido contra desastres naturais ou causados
pelo homem.
Se existe alguma ameaa potencial de propriedades vizinhas.
Se existe algum controle de segurana para prestadores de servio ou funcionrios trabalhando
em rea de segurana. A informao s deve ser fornecida quando necessrio.
Se as reas de expedio e carga e de processamento de informao so isoladas uma da
outra, para evitar acesso no autorizado.
Se uma avaliao de risco foi realizada para determinar a segurana de tais reas.
Se o equipamento foi instalado em local apropriado para minimizar acesso no autorizado rea
de trabalho.
Se os itens que requerem proteo especial foram isolados para reduzir o nvel geral de proteo
exigida.
Se os controles foram adotados para minimizar o risco de ameaas potenciais, como roubo, fogo,
exploso, fumaa, gua, poeira, vibrao, efeitos qumicos, interferncia no fornecimentos de
energia, radiao eletromagntica, inundao.
Se existe uma poltica especial para alimentao, bebida e fumo nas proximidades das
instalaes de processamento da informao.
Se os aspectos ambientais so monitorados para evitar condies que possam afetar de maneira
adversa a operao das instalaes de processamento da informao.
Se o equipamento protegido contra falhas de energia e outras anomalias na alimentao
eltrica., utilizando fornecimento de energia permanente como alimentao mltipla, no-break,
gerador de reserva, etc.
Se o cabeamento eltrico e de telecomunicaes que transmite dados ou suporta os servios de
informao protegido contra interceptao ou dano.
Se existe algum controle de segurana adicional para informaes sensveis ou crticas.
Se os equipamentos tm manuteno de acordo com os intervalos e especificaes do
fabricante.
Se a manuteno realizada apenas pelo pessoal autorizado.
Se so mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manuteno
corretiva e preventiva.
Se os controles apropriados so utilizados quando do envio de equipamentos para manuteno
fora da instalao fsica.
Se todos os requisitos impostos pelas aplices de seguro so atendidos.
Se um equipamento autorizado pela direo quando necessitar ser utilizado fora das
instalaes da organizao.
Se dispositivos de armazenamento contendo informaes sensveis so fisicamente destrudos
ou sobrescritos de maneira segura.
Se um servio de bloqueio automtico de tela de computador est ativo. Isso ir travar o
computador sempre que for deixado ocioso por um determinado tempo.
Se os empregados so avisados para deixar qualquer material confidencial de forma segura e
trancada.
Se os equipamentos, informaes ou software podem ser retirados em adequada autorizao.
Se inspees regulares so realizadas para detectar remoo de propriedade no autorizada.
Se as pessoas esto cientes que estas inspees regulares esto realizadas.

FIGURA 4 Checklist baseado na Norma NBR ISO 27002. Fonte: NBR ISO/IEC 27002:2005

52
A Norma ABNT NBR ISO/IEC 27002:2005 a principal referncia para assegurar
a implantao adequada e eficaz da Segurana da Informao em uma organizao,
abordando a verificao de conformidade de uma organizao segundo a norma no quesito
Segurana Fsica. Todos os aspectos propostos no Checklist foram descritos anteriormente no
segundo captulo, subitem 2.9.
Esse Checklist poder servir de termmetro para que as organizaes consigam
checar o seu nvel de conformidade com a norma, e assim corrigir os pontos falhos.
Algumas observaes devem ser levadas em considerao aps a aplicao do
Checklist:
o Deve-se levar em conta que no obrigatoriamente todos os controles e
diretrizes contidos na Norma ABNT NBR ISO/IEC 27002:2005 tero que ser
aplicados, devendo ser realizado um estudo de anlise e avaliao de risco
considerando-se os objetivos e as estratgias globais de negcio da
organizao.
o Uma consultoria externa especializada pode ser necessria para ajudar no
planejamento e na implantao da Norma ABNT NBR ISO/IEC 27002:2005
na organizao.
o Controles adicionais e recomendaes no includas nesta Norma podem ser
necessrios, como por exemplo, a implementao de um sistema de medio,
que seja usado para avaliar o desempenho da gesto da segurana da
informao e obteno de sugestes para a melhoria.
o Distribuio e divulgao de diretrizes e normas sobre a poltica de segurana
da informao de forma eficiente para todos os gerentes, funcionrios e outras
partes envolvidas para se alcanar a conscientizao, com isso ganhando um
comprometimento e apoio visvel de todos nveis gerenciais.

53

4 CONSIDERAES FINAIS

4.1 Concluso

Certamente o mundo nunca mais foi o mesmo aps o surgimento dos

computadores e aps a evoluo da Internet. No mundo atual globalizado, a Internet presta
um importante servio, contribuindo para agilizar ainda mais este processo de globalizao.
As organizaes, habituadas cada vez mais a esta realidade digital, passam a depender dela de
forma vital. A informao passa a ser considerada um ativo das empresas, um patrimnio.
Nesta viso, percebemos o quanto importante e indispensvel Segurana da
Informao para uma empresa. A proteo de seus dados a qualquer custo sob pena de
grandes prejuzos um tema atual. Seguindo esta tendncia, surgem tecnologias que
prometem elevado nvel de segurana e proteo, e a cada dia as organizaes se
conscientizam mais e mais da importncia e necessidade de protegerem seus dados.
Porm tal proteo deve ser tratada como um hbito continuo. Para apoiar as
organizaes e os profissionais de TI na tarefa de implantao da Segurana da Informao, a
Norma ABNT NBR ISO/IEC 27002:2005 se mostra como uma importante ferramenta.
Atravs dela, possvel aplicar-se todos os controles referentes a segurana fsica
promovendo assim a proteo desejada. Tais controles aqui mencionados podem acarretar um
investimento de alto custo inicialmente, porm levando em considerao os grandes prejuzos
que poderiam ser obtidos com a ausncia de segurana, o investimento fica plenamente
justificado.
Atravs de um Checklist baseado na ABNT NBR ISO/IEC 27002:2005, pode-se
medir o nvel de conformidade de uma organizao com a norma, permitindo a checagem dos
pontos falhos e sua correo. Uma total conformidade com a norma ABNT NBR ISO/IEC
27002:2005 confere organizao o ttulo de Organizao Certificada. Isso garante que a
empresa est em plena conformidade com a norma, bem como a proteo eficaz de suas
informaes. Outro ponto importante seria a valorizao diante do mercado de organizaes
que possuem os Certificados ISO.
Assim, conclumos que as hipteses aqui apresentadas foram confirmadas
plenamente. Vale ressaltar que o estudo apresentado, bem como suas hipteses e o Checklist

54
so baseados somente na Segurana Fsica da Informao, tendo ficado de fora dos estudos
a Segurana Lgica e outros aspectos que so tambm abordados pela Norma ABNT NBR
ISO/IEC 27002:2005.

4.2 Trabalhos Futuros

Este trabalho poder ganhar novas contribuies e desdobramentos. A seguir so

apresentados possveis desenvolvimentos futuros.
o A realizao de um Checklist baseado na ABNT NBR ISO/IEC 27002:2005
onde se pode medir o nvel de conformidade de uma organizao com a norma
em relao Segurana Lgica da Informao.
o Aplicao do Checklist em diferentes ambientes. Como por exemplo, realizar
um estudo comparativo dos resultados obtidos em uma instituio pblica, com
resultados obtidos em organizaes de outros segmentos.

55

REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS E TCNICAS ABNT. NBR ISO/IEC

17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da Informao. Rio de Janeiro: ABNT, 2005.
ASSOCIAO BRASILEIRA DE NORMAS E TCNICAS ABNT. NBR ISO/IEC
27002:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a
gesto da segurana da Informao. Rio de Janeiro: ABNT, 2005.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no desenvolvimento de software
Como desenvolver sistemas seguros e avaliar a segurana de aplicaes desenvolvidas com
base na ISO 15.408. Rio de Janeiro: Campus, 2002.
ALENCAR, Alexandre Cavalcante. COBIT, ITIL e ISO/IEC 27002. Melhores prticas para
governana de tecnologia da informao. 2010. Monografia (Graduao em Cincia da
Computao), Faculdade Loureno Filho, Fortaleza, 2010.
ANDRADE, Thiago Felipe. Percia forense computacional baseada em sistema operacional
windows. 2005. Monografia (Bacharelado em Sistemas de Informao), Centro Universitario
de Jaragu do Sul, Jaragu do Sul, 2005.
BAUER, Csar Adriano. Poltica de Segurana da Informao para Redes Corporativas.
2006. Monografia (Graduao em Cincia da Computao), Centro Universitrio Feevale,
Novo Hamburgo, 2006. Disponvel em: <http://tconline.feevale.br/tc/files/621.pdf>, Acesso
em: 24 Nov. 2010.
BARBOSA, Andr Sarmento. Fundamentos de sistemas de segurana da informao, 2004,
Disponvel em: <http://www.projetoderedes.com.br/artigos>, Acesso em: 27 Ago. 2007.
BARRETO, Danilo Muniz. Uma Abordagem sobre Poltica de Segurana da Informao
Implantada. 2009. Monografia (Tecnlogo em Informtica com nfase em Gesto de
Negcios),
FATEC-ZL,
So
Paulo,
2009.
Disponvel
em
<http://www.fateczl.edu.br/TCC/2009-1/tcc-11.pdf>, Acesso em: 23 Nov. 2010.
BURNETT, S.; Paine, S. Criptografia e segurana: O guia oficial RSA. Rio de Janeiro:
Elsevier, 2002.
CAVALCANTE, Sayonara de Medeiros. Segurana da informao no correio eletrnico
baseadas na ISO/IEC 17799: Um estudo de caso em uma instituio de ensino superior, com
foco no treinamento. 2003. Dissertao (Mestrado em Cincias em Engenharia de Produo),
Universidade Federal do Rio Grande do Norte, Natal, 2003. Disponvel em:
<http://bdtd.bczm.ufrn.br/tedesimplificado/tde_arquivos6/TDE-2006-10-03/T225216Z341/PublicoSayonaraMC.pdf>, Acesso em 19 set. 2007.
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel
Books, 2000.

56
FERREIRA, Fernando Nicolau Freitas; ARAJO, Marcio Tadeu, Poltica de segurana da
informao: Guia prtico para embalagem e implementao. Rio de Janeiro: Cincia
Moderna, 2006.
GOMES, George; OLIVEIRA, Suelene. Guia para Elaborao de Textos Acadmicos
Projeto de Monografia e Monografia. Fortaleza: Faculdade Loureno Filho - FLF, 2010.
HONEYCUTT, Jerry. Usando a internet. Rio de Janeiro: Campus, 1998.
HONRIO, Paulo Henrique Arajo. HACKERS Como se proteger?. 2003. Monografia
(Graduao em Cincias da Computao), Centro Universitrio do Tringulo, Uberlndia,
2003. Disponvel em:
<http://www.computacao.unitri.edu.br/downloads/monografia/28211129128857.pdf>. Acesso
em: 10 Out. 2007.
INFORMA
BR,
Segurana
da
informao,
2007,
Disponvel
<http://www.informabr.com.br/nbr.htm#13>, Acesso em: 06 Nov. 2007.

em:

KRAUSE, Micki e TIPTON, Harold F. Handbook of information security management.

Auerbach Publications, 1999.
LAUREANO, Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurana como
estratgia de gesto da informao. Artigo (Publicado na Revista Revista Economia &
Tecnologia, Vol. 8 Fascculo 3 P. 38-44 Ano. 2005) Disponvel < http://
www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/economia_tecnologia
_seguranca_2005.pdf>, Acesso em: 23 Nov. 2010.
MDULO SECURITY SOLUTION S/A. Pesquisa nacional de segurana da informao 10,
2006. Disponvel em: <http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>,
Acesso em 20 Out. 2010.
MOREIRA, Nilton Stringasci. Segurana mnima: Uma viso corporativa da segurana de
informaes. Rio de Janeiro: Axcel Books, 2001.
NASCIMENTO, Ricardo Brito. Segurana da informao na rede interna com certificados
digitais e seus aspectos legais. 2010. Monografia (Especializao em Cincia da Computao:
Gesto da Segurana da Informao e Comunicaes), Universidade de Braslia, Braslia,
2010. Disponvel em
<http://rbrito.googlecode.com/svn/diversos/UNB/monografia/Monografia_CEGSIC.pdf>.
Acesso em: 24 Nov. 2010.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio. Segurana de redes em ambientes
cooperativos; So Paulo: Futura, 2003.
PEREIRA, Cristiane Santos. Implementao de polticas e procedimentos de segurana em
ambiente internet. 2000. Monografia (Ps-Graduao em Gesto da Tecnologia da
Informao). Universidade de Braslia, Braslia, 2000.
SALGADO, Ivan Jorge Chueri; BANDEIRA, Ronaldo; SILVA, Rivaldo Sanches da. Anlise
de segurana fsica em conformidade com a norma ABNT NBR ISO/IEC 17799. 2004.

57
Trabalho de concluso de curso (Tecnlogo em Tecnologia da Segurana da Informao).
Faculdades Integradas ICESP, Braslia, 2004.
SMOLA, Marcos. Gesto da segurana da informao: Uma viso executiva. Rio de
Janeiro: Campus, 2003.
SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Srgio. Redes de
computadores: das LANs, MANs e WANs s redes ATM. Rio de Janeiro: Campus, 1995.
VANZOLINE. Portal da fundao carlos alberto vanzolina. Disponvel em:
<http://portal.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf>,
Acesso em: 06 Nov. 2007.
WADLOW, Thomas. Segurana de Redes. Rio de Janeiro: Campus, 2000.