Académique Documents
Professionnel Documents
Culture Documents
Braslia
2011
Braslia
Setembro de 2011
Errata
Dedicatria
Dedico esse trabalho minha famlia, pelo apoio e amor incondicional, e pela
pacincia que demonstraram nos diversos momentos que tive de me afastar para
dar continuidade pesquisa.
Agradecimentos
Lista de Figuras
Figura 2.1 - Ciclo PDCA (Fonte: ABNT 27001, 2006, p. vi). ...................................... 29
Figura 5.1 - Anlise de Aderncia em relao rea Poltica de SI da norma ABNT
27002 (2005). .......................................................................................................... 175
Figura 5.2 - Anlise de Aderncia em relao rea Organizando a SI da norma
ABNT 27002 (2005). ............................................................................................... 180
Figura 5.3 - Anlise de Aderncia em relao rea Controle de Segurana Fsica
e Ambiental da norma ABNT 27002 (2005). .......................................................... 184
Figura 5.4 - Anlise de Aderncia em relao rea Controle de Acesso da norma
ABNT 27002 (2005). ............................................................................................... 195
Figura 5.5 - Anlise de Aderncia em relao rea Gerenciamento das Operaes
e Comunicaes da norma ABNT 27002 (2005). ................................................... 208
Figura 5.6 - Anlise de Aderncia em relao seo 12.3 Controles Criptogrficos
da norma ABNT 27002 (2005). ............................................................................... 211
Figura 5.7 - Anlise de Aderncia em relao rea Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao da norma ABNT 27002 (2005). ............. 214
Figura 5.8 - Anlise de Aderncia em relao rea Gesto de Incidentes de
Segurana da Informao da norma ABNT 27002 (2005). .................................... 217
Figura 5.9 - Anlise de Aderncia em relao rea Conformidade da norma
ABNT 27002 (2005). ............................................................................................... 221
Figura 5.10 - Anlise de Aderncia em relao rea Gesto da Continuidade do
Negcio da norma ABNT 27002 (2005). ................................................................ 224
Figura 5.11 - Resaultado Geral da anlise de conformidade realizada. .................. 226
Figura 5.12 - Comparao entre as anlises de conformidade realizadas em 2008 e
2010/2011. .............................................................................................................. 226
Lista de Tabelas
Sumrio
Errata........................................................................................................................... 5
Ata de Aprovao da Monografia ................................................................................ 6
Dedicatria .................................................................................................................. 7
Agradecimentos .......................................................................................................... 8
Lista de Figuras ........................................................................................................... 9
Lista de Tabelas ........................................................................................................ 10
Sumrio ..................................................................................................................... 12
Resumo ..................................................................................................................... 22
Abstract ..................................................................................................................... 23
1
Introduo .................................................................................................... 24
1.2
1.3
1.3.1
1.3.2
1.3.3
Escopo ................................................................................................... 26
1.4
Justificativa ................................................................................................... 27
1.5
Hipteses ..................................................................................................... 27
1.5.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17
Metodologia........................................................................................................ 57
Resultados ......................................................................................................... 61
4.1
4.1.1
4.1.2
4.1.3
4.1.4
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3
4.3.4
4.4
4.4.1
4.4.2
4.4.3
4.4.4
4.5
4.5.1
4.5.2
4.5.3
4.5.4
4.6
4.6.1
4.6.2
4.6.3
4.6.4
4.7
4.7.1
4.7.2
4.7.3
4.7.4
4.8
4.8.1
4.8.2
4.8.3
4.8.4
4.9
4.9.1
4.9.2
4.9.3
4.9.4
4.10
4.10.1
4.10.2
4.10.3
4.10.4
4.11
4.11.1
4.11.2
4.11.3
4.11.4
4.12
4.12.1
4.12.2
4.12.3
4.12.4
4.13
4.13.1
4.13.2
4.13.3
4.13.4
4.14
4.14.1
4.14.2
4.14.3
4.14.4
4.15
4.15.1
4.15.2
4.15.3
4.15.4
4.16
4.16.1
4.16.2
4.16.3
4.16.4
4.17
4.17.1
4.17.2
4.17.3
4.17.4
5
Discusso......................................................................................................... 166
5.1
5.1.1
5.1.2
5.1.3
5.2
5.2.1
5.2.2
5.2.3
5.3
5.3.1
5.3.2
5.4.1
e Comunicaes............................................................................................... 176
5.4.3
Sobre
Consultoria
Interna
em Segurana
da
Informao
5.4.6
5.5
5.5.1
5.5.2
5.5.3
5.6
5.6.1
5.6.2
5.6.4
5.6.5
5.7
5.7.1
5.8.1
5.9
5.9.1
5.9.2
5.9.3
5.10
5.10.1
5.10.2
5.10.3
Anlise.............................................................................................. 199
5.11
5.11.1
5.11.2
Anlise.............................................................................................. 203
5.12
5.12.1
5.12.2
5.12.3
5.12.5
5.12.6
Anlise.............................................................................................. 207
5.13
5.13.1
5.13.2
5.13.3
5.13.4
5.13.5
Anlise.............................................................................................. 210
5.14.1
5.14.2
5.14.3
5.14.4
Anlise.............................................................................................. 213
5.15
5.15.1
5.15.3
5.15.4
Anlise.............................................................................................. 216
5.16
5.16.1
5.16.3
5.16.4
Anlise.............................................................................................. 220
5.17
5.17.1
5.17.3
5.17.4
Anlise.............................................................................................. 223
5.18
5.18.1
Concluses................................................................................................. 227
6.2
Resumo
Palavras-chave:
conformidade.
segurana,
informao,
comunicaes,
auditoria,
gesto,
Abstract
It is general opinion that information is one of the most important assets of any
organization. Therefore, protecting it becomes an important goal to be accomplished.
To that end, it is urgent to manage the Information and Communication Security
(ICS) in an efficient and effective way in order to either to mitigate or to eliminate the
risks to the business. To achieve this goal in Company X, this research defined an
ICS management model base on the compliance analysis with ABNT 27002 (2005)
standard and the legislation inherent to the information security, in the theoretical
material, and case study protocols used in the specialization course in Management
of Information Security and Communications (CEGSIC 2009/2011). The research
also allowed the proposition of a set of ICS controls in compliance with the legislation
and ICS management best practice, in order to meet the business requirements.
Keywords:
compliance.
security,
information,
communications,
auditing,
management,
24
1 Delimitao do Problema
1.1 Introduo
de suma importncia que uma organizao identifique seus requisitos de
segurana; isto , todo e qualquer tipo de controle utilizado para atuar na diminuio
dos riscos ao negcio. A seleo dos controles depende dos critrios estabelecidos
pela organizao e pode se basear na legislao vigente, regulamentaes
nacionais ou internacionais, mtricas ou prticas estabelecidas por rgos de
reconhecida competncia. (BALDISSERA, 2007)
De acordo com a norma ABNT 27002 (2005), so exemplos de controles:
Questes relacionadas proteo de dados e privacidade de
informaes pessoais;
Proteo de registros organizacionais;
Direitos de propriedade intelectual;
O prprio documento da poltica de segurana;
Atribuio e distribuio de responsabilidades;
Conscientizao e treinamento em segurana da informao;
Gesto de vulnerabilidades tcnicas;
Gesto da continuidade do negcio; e
Gesto de incidentes de segurana da informao.
Alm disso, normas e legislaes (LEGISLAO, 2010) so apenas o ponto
de partida, pois as organizaes podem e devem escolher e estabelecer controles
que atendam s suas caractersticas nicas e que as diferenciam das demais.
Conseguir aderncia e conformidade a uma dessas normas, por si s, no
representa atingir maturidade em um processo de gesto de Segurana da
25
Informao e Comunicaes (SIC), mas assegura que os riscos sejam mitigados e
tratados e ainda que estejam sob contnua superviso. (SALGADO, SILVA e
BANDEIRA, 2004)
A fim de atingir esta conformidade, foi realizada na empresa COMPANHIA X,
em 2008, uma anlise de aderncia com a norma ABNT 27002 (2005), cujos
resultados denotaram que muito ainda h que ser feito em termos de Gesto de SIC.
Desde ento, vrias aes foram tomadas e muitas outras ainda esto por serem
executadas. Desta forma torna-se mister realizar uma nova anlise de aderncia e
conformidade referida norma no processo de implementao e implantao das
melhores prticas de Gesto em Segurana.
necessrio ter como base que apenas possuir a conformidade, com a
norma supracitada, no basta para se ter um modelo de gesto de segurana da
informao. Para isso, o governo federal publicou no dirio oficial de n 199, de 14
de outubro de 2008, a Instruo Normativa Complementar de n 2 (IN02, 2010), que
define a metodologia de gesto de SIC a ser utilizada na Administrao Pblica
Federal (APF), direta e indireta.
Esse trabalho, resultado da execuo de vrios estudos de caso, apresentar
uma proposta metodolgica com vistas a assegurar uma Gesto de SIC mais
eficiente e eficaz, tendo como referncia a metodologia de gesto de SIC baseada
no ciclo PDCA (Plan, Do, Check e Act), e que foi estabelecida pela norma ABNT
NBR ISO/IEC 27001:2006 (ABNT 27001, 2006). A escolha desta metodologia se
baseou em trs critrios: a) simplicidade; b) compatibilidade com a cultura de
segurana j sendo utilizada pelas empresas pblicas; e c) coerncia com as
prticas j adotadas nestas mesmas empresas.
26
Como atingir um modelo de SIC mais adequado, eficiente e eficaz para
a COMPANHIA, utilizando como referncia normas relacionadas SIC
atualmente reconhecidas e amplamente utilizadas pelo mercado, de
forma que se consiga mitigar ou at mesmo eliminar os riscos para o
negcio?
27
1.4 Justificativa
Esta pesquisa se justifica pela possibilidade de apoiar e agregar valor ao
processo de escolha, construo e implementao de uma metodologia de gesto
de SIC na COMPANHIA X, pois na empresa h somente at o momento, a Poltica
de Segurana da Informao e Comunicaes aprovada, no possuindo qualquer
outra norma de segurana implementada.
A pesquisa tambm agregar valor ao processo de escolha dos controles de
segurana que sejam mais pertinentes e que atendam aos requisitos de negcio da
COMPANHIA X e que ajudem a mitigar, ou eliminar os riscos e ameaas ao
ambiente informacional da empresa.
1.5 Hipteses
1.5.1 Hiptese sobre a utilizao do material terico e questes de suporte
dos protocolos de estudo de caso das disciplinas do curso CEGSIC
2009/2011
A utilizao do material terico e protocolos de estudo de caso das disciplinas
do curso de especializao em Gesto de Segurana da Informao e
Comunicaes (CEGSIC 2009/2011) corroboram com o referencial normativo e com
a legislao concernentes SIC, para o estabelecimento de uma anlise de
conformidade em SIC mais abrangente e eficaz.
1.5.2 Hipteses sobre os requisitos de controle de SIC
Os requisitos de controle de segurana da informao e comunicaes, ora
vigentes na COMPANHIA X so adequados e suficientes para atender aos requisitos
do negcio, e esto em conformidade com as normas e legislao inerentes ao
assunto.
28
o Sees da norma ABNT 27002 (2005);
o Disciplinas componentes do CEGSIC 2009/2011, que se
correlacionam com o objeto de pesquisa deste trabalho e que
no esto diretamente contidas nas sees da supracitada
norma.
No Captulo 3 apresentada a metodologia da anlise de
conformidade realizada, e demais questes pertinentes a ela.
No captulo 4 so apresentados os resultados da anlise de
conformidade e demais questes levantadas pela pesquisa.
No captulo 5 realizada a anlise e interpretao dos dados da
pesquisa relacionando-os com os objetivos e hipteses de pesquisa.
No captulo 6 so reunidas as dedues retiradas dos resultados da
pesquisa e so apresentadas as indicaes de possveis trabalhos
futuros.
29
30
1. Planejar: a fase de planejamento das aes de SIC a serem
implementadas, considerando-se os requisitos de negcio. Nessa fase,
as seguintes atividades devem ser executadas:
a. Definir escopo;
b. Definir abordagem de risco, com definio de metodologia de
gesto de riscos;
c. Identificar os riscos;
d. Analisar os riscos;
e. Identificar as opes para o tratamento do risco;
f. Selecionar as aes de SIC necessrias para tratar o risco;
g. Selecionar objetivos de controle e controles para o tratamento de
riscos.
Nessa
atividade,
utilizam-se
como
referncia
os
31
3. Monitorar e analisar: a fase de avaliao das aes de SIC
implementadas na fase anterior. Nessa fase, as seguintes atividades
devem ser executadas:
a. Executar procedimentos de avaliao e anlise crtica para
verificar se as aes de SIC esto sendo executadas como
planejado;
b. Analisar criticamente, com regularidade, a eficcia do SGSI;
c. Realizar auditorias internas para verificar conformidade dos
controles e requisitos de SIC;
d. Atualizar os planos e aes de SIC levando em considerao o
resultado das avaliaes e anlise critica realizada;
e. Registrar aes e eventos de SIC que possam impactar o
desempenho do SGSI.
4. Manter e melhorar: a fase de aperfeioamento das aes de SIC
monitoradas e avaliadas na anterior. Nessa fase, as seguintes
atividades devem ser executadas:
a. Propor direo da empresa a necessidade de implementao
das melhorias recomendadas pela fase anterior;
b. Implementar as melhorias aprovadas;
c. Comunicar efetivamente todas as melhorias, direo da
organizao e demais chefias afetadas pelas aes de SIC;
d. Assegurar que sejam alcanados os objetivos pretendidos com
as aes de SIC.
Na fase de planejamento, no que diz respeito seleo de aes e objetivos
de controles de SIC para tratamento do risco, utiliza-se as recomendaes e prticas
preconizadas nas onze sees da norma ABNT 27002 (2005) explicitadas abaixo:
Poltica de Segurana da Informao;
Organizando a SI;
Gesto de ativos;
Segurana em recursos humanos;
Segurana fsica e do ambiente;
Gesto das operaes e comunicaes;
Controle de acesso;
32
Aquisio, desenvolvimento e manuteno de sistemas de informao;
Gesto de incidentes de SI;
Gesto da continuidade do negcio; e
Conformidade.
Este trabalho considera mais algumas reas/sees que no eram
contempladas pela ABNT 27002 (2005), ou j eram tratadas como subtpicos dentro
de algumas sees da norma, como por exemplo, o tema criptografia, que era
tratado dentro da seo 12 - Aquisio, desenvolvimento e manuteno de sistemas
de informao, mas que devido sua importncia e relevncia para SIC deveria ser
tratado como uma seo parte, de forma a agregar mais valor ao planejamento e
implementao de um sistema de gesto de SIC. Com isso, essas novas sees ou
reas passariam a constar de processos de auditoria interna em SIC visando
assegurar uma gesto de SIC mais eficiente e eficaz de forma a reduzir os riscos
para o negcio.
Nos prximos subitens desse captulo sero denotadas todas as reas
consideradas pertinentes para compor um SGSI e que compuseram a auditoria de
SIC realizada nesse trabalho monogrfico.
33
qualquer sistema. Passando, este ltimo a se denominar sistema seguro ou
segurado, mantendo suas estruturas e comportamentos ao longo do tempo.
Ainda segundo Fernandes (2010a), h os sistemas de misso crtica que so
essenciais para o cumprimento das funes mais importantes da organizao; isto ,
sistemas que caso sofram os efeitos de alguma vulnerabilidade, podem impedir a
empresa de cumprir suas funes bsicas de negcio.
Ento, saber quais so os sistemas de misso crtica da instituio, seja
pblico ou privada, torna-se um importante fator na construo de um sistema de
gesto de SIC como um todo.
A fim de se averiguar se os requisitos de SIC de um determinado sistema de
misso crtica esto satisfatrios, ou em conformidade com o preconizado pelas
melhores prticas em gesto de SIC, pode-se utilizar a norma ABNT 27002 (2005) e
escolher, dentre suas 11 sees de controles de segurana, aqueles mais
relacionados ao sistema de misso crtica em anlise e verificar sua aplicabilidade,
grau de implementao e eficincia. Outro fator a ser levado em considerao e no
menos importante, diz respeito aos requisitos legais e normativos que podem
impactar sobremaneira o sistema de misso crtica em questo.
34
infraestrutura de TI em seu processo AI3, que versa sobre os objetivos de controle
relacionados aquisio e manuteno da infraestrutura de TI e sua importncia
para o negcio.
Esse processo estabelece controles para aquisio de infraestrutura de TI,
proteo e disponibilidade dos recursos da infraestrutura de TI, manuteno da
infraestrutura de TI e testes dos elementos da infraestrutura de TI. O processo enfim
descreve que a infraestrutura de TI deve ser considerada para que se atinjam os
melhores resultados e benefcios para o negcio (ESTRUTURA, 2010).
Analisar se a infraestrutura de TI atende aos requisitos de segurana do
negcio tambm envolve conhecer os elementos que compem a mesma. Segundo
Arajo (2010), a infraestrutura de TI composta de:
Instalaes prediais - em que devem ser observadas questes de
segurana da informao relacionadas ao fornecimento de energia
eltrica, climatizao/refrigerao dos ambientes e controle de acesso;
Computadores e equipamentos - em que no devem ser esquecidos os
requisitos de segurana que devem existir em equipamentos tais como:
estaes de trabalho, servidores, mainframes e clusters;
Software - em que devem ser observadas inmeras questes de
segurana no que diz respeito a software de sistema, software
aplicativo e software embarcado;
Redes e Telecomunicaes - em que devem ser observadas questes
de segurana relacionadas aos componentes da rede, tais como:
placas de rede, switchs, roteadores, cabeamento e telefonia; e
Sistemas de armazenamento e recuperao de dados - em que devem
ser observadas questes de segurana relacionadas a um servidor de
arquivos e a storages que normalmente so utilizados para grandes
volumes de dados.
A norma ABNT 27002 (2005), define que a infraestrutura de TI deve ser
considerada para que se atinjam resultados que visem a eficincia e eficcia,
gerando benefcios para o negcio. Ela especfica, no item 2 (Termos e definies),
subitem 2.4, que a infraestrutura um importante recurso de processamento da
informao. Em sua seo 10 (gerenciamento das operaes e comunicaes), so
35
recomendados controles que visam garantir a operao segura e a mais correta
possvel dos recursos de processamento da informao (ABNT 27002, 2005).
Apoiado nestas justificativas a pesquisa procura analisar os diversos
requisitos de SIC correlacionados infraestrutura da organizao.
36
toda a organizao, conforme um dos requisitos de controle de segurana dispostos
na seo 5 - Poltica de Segurana, item 5.1, da norma ABNT 27002 (2005).
A IN01 (2008) define a POSIC como um documento que precisa ser aprovado
pela autoridade mxima da organizao da APF, direta e indireta, e tambm
estabelece que a mesma deva ter como objetivos, fornecer diretrizes, critrios e
suporte administrativo suficientes implementao da SIC nas organizaes. Alm
disso, em seu artigo 5, inciso VII, a IN01 determina que de competncia de cada
empresa pblica aprovar sua POSIC e demais normas de SIC.
A Instruo Normativa Complementar n 03 (IN03, 2009) publicada pelo DSIC,
do GSIPR, estabelece diretrizes para elaborao de uma POSIC nos rgos e
entidades da administrao pblica federal e que a mesma deve ter, por objetivo
bsico, confirmar o comprometimento da alta direo das empresas na
implementao da gesto da segurana da informao e comunicaes por meio do
fornecimento
de
diretrizes
estratgicas,
atribuio
de
responsabilidades e
um
importante
objetivo
ser
perseguido
atingido,
37
Disponibilidade, Integridade, Confidencialidade e Autenticidade, torna-se quase to
importante quanto misso bsica para a qual a empresa foi criada.
Para atingir o objetivo de proteger a informao precisa-se, primeiramente,
pensar em uma estrutura ou organizao de SIC de forma que ela possa ajudar a
planejar, desenvolver e executar todas as aes relacionadas segurana da
informao.
Veneziano (2010a) define organizao, de forma simplificada, como um
arranjo intencional de pessoas e de tecnologia que visa certo objetivo. Fontes (2008)
por sua vez, estabelece que uma empresa deva ter uma estrutura organizacional
responsvel pelo processo de gesto de SIC, viabilizando e garantindo a sua
implementao e manuteno.
A norma ABNT 27002 (2005), em sua seo relativa Organizao da
segurana da informao, estabelece que para gerenciar a segurana da
informao dentro de uma empresa conveniente se estabelecer uma estrutura
prpria que inicie e controle as implementaes de SIC como um todo.
Corroborando com isso, em 13 de junho de 2008, o GSIPR, por meio do DSIC,
publicou a Instruo Normativa n 01 (IN01, 2008), que disciplina a Gesto de SIC
na APF direta e indireta.
Essa instruo normativa, em seu artigo 5 determina, dentre outras coisas,
que cada empresa pblica, direta ou indireta, tome as seguintes providncias:
Estabelea um programa oramentrio especfico para as aes de SIC;
Institua um Comit de Segurana da informao e Comunicaes (CSIC);
Institua um Gestor de Segurana da informao e Comunicaes; e
Institua uma Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais (ETIR).
Alm disso, em seus artigos 6 e 7, a IN01 (2008) tambm especifica quais
so as responsabilidades e competncias tanto do CSIC quanto do Gestor de SIC.
Com essas determinaes, o governo federal vem salientar a premncia e a
importncia de que as empresas pblicas criem as estruturas organizacionais que
devam tratar de todos os aspectos relacionados SIC, no s para proteger,
possivelmente o bem mais valioso das empresas atualmente, que a informao,
como tambm para que todas estejam em conformidade com a legislao, e com
todo o conjunto de normas e melhores prticas em gesto de segurana.
38
que
visam
impedir
perdas,
danos,
furto
ou
roubo,
ou
39
Torna-se mister para qualquer empresa verificar se os seus requisitos de controle de
segurana da informao e comunicaes esto em conformidade com o
preconizado e sugerido pela seo Segurana fsica e do ambiente, da norma
ABNT 27002 (2005).
40
as atitudes, conhecimento e comportamento dos servidores que tratam com as
informaes. Posio essa em sintonia com o frisado por Rocha (2008), que afirma
que o elo mais fraco da SIC justamente o ser humano.
Silva (2007) acaba por afirmar que pouco tem sido feito pelas empresas para
se identificar as causas e/ou fatores que levam os usurios a comportamentos
inseguros e menos ainda para buscar solues para essa problemtica.
Na maioria dos casos, as empresas costumam utilizar a legislao
relacionada SIC, as normas inerentes ao assunto e, um pouco de bom senso na
elaborao e implementao de sua gesto de SIC. Porm, a questo ergonmica
crucial e tambm deveria ser levada em considerao. Torna-se mister no se
esquecer de se estudar, pesquisar e levar em conta o que poderia levar os usurios
a adotarem comportamentos inseguros e um objetivo extremamente importante a
ser atingido em um projeto dessa natureza.
41
navegaes em redes sociais, por exemplo, e a autoridade do empregador em
controlar seus acessos internet?. Ele afirma, que do ponto de vista legal,
geralmente o empregador responde civilmente pela utilizao de seus computadores
e demais recursos computacionais quando utilizados pelos seus empregados.
Em Justia (2008), apresenta-se uma matria de jornal em que a justia do
trabalho nega ao empregado privacidade na utilizao do e-mail funcional. O caso
chegou at o Tribunal Superior do Trabalho, em que o ministro acaba por afirmar
que o e-mail corporativo no se enquadra nos casos de sigilo de correspondncia,
conforme previstos na Constituio, porque uma ferramenta de trabalho.
Em Machado (2010) pode-se observar a mesma discusso. Porm o autor
coloca que se for deixado claro, em uma ampla e transparente poltica corporativa
para utilizao de recursos computacionais, de que toda e qualquer expectativa de
privacidade deve ser suprimida, a questo de propriedade passar a ser
prevalecente sobre a questo de privacidade.
No Brasil, a questo do direito de propriedade tratada na constituio
(BRASIL, 1988), em alguns incisos dispostos no art. 5; na lei 9279 (BRASIL, 1996),
que regula direitos e obrigaes relativas propriedade industrial; na lei 9609
(BRASIL, 1998a) que dispe sobre a proteo da propriedade intelectual de
programa de computador, sua comercializao no Pas, e d outras providncias; na
lei 9610 (BRASIL, 1998b), que altera, atualiza e consolida a legislao sobre direitos
autorais e d outras providncias e tambm no cdigo civil (BRASIL, 2002b), art.
932, inciso III. A questo da privacidade direito constitucional previsto no art. 5,
inciso XII.
Observando-se a dicotomia propriedade versus privacidade e tendo por base
os controles recomendados pela ABNT 27002 (2005), acaba-se por diminuir a
quantidade de incidentes, sejam intencionais ou no, e que acabam por
responsabilizar seu infrator, tanto de forma administrativa, civil ou penal. Contudo,
no basta s observarem-se as normas e a legislao relacionada ao direito de
propriedade e privacidade, mas tambm toda a legislao voltada SIC, como por
exemplo: o Decreto 3505 (BRASIL, 2000) que institui que todo rgo pblico deve
ter uma Poltica de Segurana da Informao; o Decreto 4553 (BRASIL, 2002) que
trata da classificao e trato de informaes sigilosas; a Instruo Normativa 01
(IN01, 2008) que disciplina a gesto de SIC na Administrao Pblica Federal; e
todas as demais Instrues Normas Complementares IN01 (2008) que tratam de
42
assuntos tais como a metodologia de gesto de SIC, gesto de incidentes de
segurana, gesto de riscos e controle de acesso.
Sendo assim, estar em conformidade com as normas, naquilo que for
relevante e necessrio para nossas organizaes, e tambm com a legislao
vigente, se torna no s uma obrigao, mas uma necessidade para que possamos
mitigar ou at mesmo eliminar os riscos para o negcio. Dessa forma, diminui-se as
oportunidades para possveis delitos e incidentes que acabaram por culminar em
responsabilidades administrativas, civis ou penais e a dicotomia propriedade versus
privacidade em que esta no seria um problema, mas sim algo tratado, explicitado e
amplamente divulgado a todos na organizao.
27001
(2006).
Sendo
assim,
serve
como
um
detalhamento
das
43
recomendaes fornecendo, inclusive, todo o fluxo de atividades a serem
observados em uma boa anlise/avaliao de riscos.
No caso da APF foram publicadas a Instruo Normativa Complementar 02,
que trata da Metodologia de Gesto de SIC, e que tambm se utiliza da gesto de
riscos como um de seus pressupostos (IN02, 2008) e a Instruo Normativa
Complementar 04, que trata de estabelecer diretrizes para o processo de gesto de
riscos de segurana da informao, para as empresas pblicas, tanto da
administrao direta, quanto indireta (IN04, 2009).
Todas essas aes, normas e instrues normativas que trabalham a gesto
de riscos chamam a ateno para esse importante processo de gesto que passa a
ser crucial para qualquer empresa, seja pblica ou privada, na tentativa de se
reduzir, mitigar ou at mesmo eliminar os riscos para o negcio e para compor seu
sistema de gesto de SIC.
44
ativos da empresa contra acessos indevidos e que, ao mesmo tempo, s permitam o
acesso dos indivduos legitimamente autorizados. Nesse caso, considera-se a
informao o ativo mais importante a ser protegido.
Uma definio bem recente pode ser encontrada na Instruo Normativa
Complementar 07 (IN07, 2010) que define controle de acesso como o conjunto de
procedimentos, recursos e meios utilizados com a finalidade de conceder ou
bloquear o acesso. Essa instruo normativa tem, por finalidade, estabelecer
diretrizes para a implementao de controles de acesso relativos SIC e mais um
dos muitos instrumentos que podem ser utilizados para a construo de barreiras
fsicas ou lgicas que ajudem a construir um processo de controle de acesso
eficiente e eficaz.
Ento, conseguir responder pergunta Os requisitos de controle de
segurana da informao e comunicaes de uma organizao esto em
conformidade com o preconizado e sugerido pela seo Controle de Acesso, da
norma ABNT 27002 (2005)? pode contribuir, sobremaneira, no processo de
construo de uma boa gesto de SIC.
45
objetivos do negcio da organizao. Logo essa viso parece ser a mais adequada
para uma gesto mais adequada e abrangente dos controles.
Nesse sentido, suscita-se a relevncia do framework de governana de TI
denominado COBIT (Control Objectives for Information and related Technology).
Esse padro fornece boas prticas de governana por meio de um modelo de
domnios e processos que visam alinhar os objetivos de negcio com os objetivos de
TI, de forma que os investimentos de TI sejam otimizados, que seja assegurada a
entrega de servios e, tambm, que seja provido um conjunto de mtricas que
permitam avaliar a entrega e execuo dos processos, produtos e servios de TI
(COBIT, 2007).
O COBIT dividido em quatro domnios que, por sua vez contm diversos
processos. Dentre eles, destacam-se:
O domnio de Planejamento e Organizao estabelece processos que
observam o uso da tecnologia da informao e se isso colabora para que a
empresa atinja seus objetivos e metas.
O domnio Aquisio e Implementao permite o controle e identificao dos
requisitos de TI, da aquisio de tecnologia e como isso interage com os
objetivos de negcio da organizao. Tambm trata das questes
relacionadas aos requisitos e efeitos de mudanas no ambiente empresarial.
O domnio de Entrega e Suporte de Servios diz respeito a tudo relacionado
entrega de servios, tanto no que diz respeito ao servio fornecido por
colaboradores internos quanto fornecedores externos organizao.
O domnio de Monitorar e Avaliar permite monitorar toda gesto, incluindo
todos os processos e controles, viabilizando a Governana como um todo, e
averiguando se os objetivos de negcio esto realmente sendo alcanados.
Ento, se uma determinada organizao consegue responder pergunta Os
processos de TI ora praticados pela empresa esto em conformidade com os
controles recomendados pelos domnios Aquisio e Implementao e Entrega e
Suporte de Servios de TI, e em especial com os controles recomendados pelo
processo DS5 Assegurar a segurana dos servios, do framework COBIT?, pode
contribuir, sobremaneira, no processo de construo da gesto de SIC como um
todo (COBIT, 2007).
46
47
aos elementos que determinam os padres de comportamento do sistema como um
todo.
E exatamente em que ponto a modelagem, simulao e dinmica de sistemas
poderiam contribuir para a gesto de SIC? Para tentar responder a essa pergunta,
nesse trabalho ser utilizado um modelo de simulao de modo que se possa aferir
de que forma o modelo pode influenciar em uma melhor gesto de SIC.
de
atividades,
processos,
procedimentos e
recursos que
visam
48
ajudariam a assegurar uma boa gesto de operao e, por conseguinte, uma boa
gesto de TI. Dentre os controles principais da supracitada seo, destacam-se:
Controles
referentes
aos
procedimentos
responsabilidades
49
ABNT 27002? contribuir, sobremaneira, no processo de construo da gesto de
SIC.
50
Desta forma, conseguir responder pergunta A criptografia usada de
maneira
adequada
para
assegurar
SIC
da
organizao?
contribuir,
51
o Subitem 12.5 - Segurana em processos de desenvolvimento e
suporte.
Todos esses subitens tm, dentre outros objetivos, garantir que a segurana
seja parte integrante da metodologia de desenvolvimento/manuteno de sistemas
de informao ou de processos de aquisio de software.
Ainda segundo Fontes (2008), o desenvolvimento e manuteno de sistemas
devem considerar todos os aspectos contemplados pela SIC (controle de acesso,
necessidades de auditoria, recursos humanos e etc.) alm de:
Incluir aspectos de SIC em todas as fases do ciclo de desenvolvimento
e vida de um sistema;
Levantar como requisitos do sistema aspectos relacionados SIC; e
Considerar na fase de testes no s questes relacionadas ao
funcionamento do sistema/software, mas tambm testes de segurana.
Para se entender bem o conceito de SIC em desenvolvimento de software,
torna-se mister definir o que seria um sistema de informao. Campos (2007) define
sistema de informao como um processo que recebe informaes, as processa, e
as devolve, j processadas ou transformadas. Segundo o mesmo autor, os sistemas
de informao existem para apoiar as empresas e as pessoas que trabalham nelas.
Fernandes e Holanda (2010) dizem que um software deve sempre satisfazer
as necessidades dos usurios, no deve apresentar falhas e ser fcil de dar
manuteno. Alm disso, apresentam a ideia de que as vulnerabilidades presentes
nos softwares complementam as causas dos incidentes causados por falhas
humanas, sejam intencionais ou no.
Sendo assim, levar em considerao os requisitos de segurana, conforme
preconizados pelas normas e melhores prticas de segurana e desenvolvimento de
software disponveis no mercado, durante todo o ciclo de desenvolvimento de
software, altamente recomendvel para se viabilizar e assegurar uma gesto de
SIC mais eficiente e eficaz.
52
atingimento de metas corporativas, est sujeito a todo tipo de ameaas que podem
explorar
as
vulnerabilidades
dos
ativos
computacionais/informacionais
das
53
Na Instruo Normativa Complementar n 08 (IN08, 2010), que
disciplina o gerenciamento de incidentes de segurana em redes de
computadores.
Contudo, mesmo com todas essas referncias para servirem de base para os
trabalhos e atividades de tratamento e gerenciamento de incidentes de segurana,
preciso considerar a explanao encontrada em Gondim (2010) que diz que o
tratamento e resposta a incidentes uma atividade multidisciplinar que normalmente
demanda recursos de diferentes reas das organizaes.
Sendo assim, uma boa gesto de incidentes, levando-se em considerao as
recomendaes contidas nas melhores prticas do mercado e na legislao vigente,
trabalhando de forma compartilhada com todas as reas de negcio, muito
contribuir para uma gesto de SI cada vez mais eficiente e eficaz.
ciclo
PDCA
(Plan-Do-Check-Act),
estabelecido
pela
norma
54
maturidade, conformidade, ou aderncia, uma determinada organizao encontrase. Para isso, pode-se utilizar normas amplamente divulgadas pelo mercado, ou a
prpria legislao vigente e que impacta diretamente no negcio da instituio.
Segundo Rodrigues e Fernandes (2010), a auditoria de SIC uma atividade
devidamente estruturada para examinar, de forma criteriosa, a situao dos
controles/requisitos de SIC. Esses controles servem para mitigar ou eliminar os
riscos a que os ativos informacionais estariam sujeitos. Essa posio tambm
corroborada por Campos (2007) que diz que a auditoria deve comprovar a eficcia, a
eficincia e a efetividade do SGSIC.
Ainda segundo Rodrigues e Fernandes (2010) a auditoria de SIC pode ser
classificada em trs tipos: de gesto, de desempenho operacional, e de
conformidade. A auditoria de gesto visa acompanhar se as aes a respeito de
itens de segurana esto sendo executadas. A auditoria de desempenho
operacional busca constatar se as aes de segurana esto ou no funcionando e
se os controles so eficientes e eficazes para a proteo dos ativos de informao.
A auditoria de conformidade, por sua vez, busca verificar se os controles de
segurana esto implementados e funcionais.
As auditorias internas (e tambm externas) devem ser executadas
rotineiramente visando monitorar a eficincia e eficcia do SGSIC. De acordo com a
Norma ABNT 27001 (2006), essa verificao do SGSI deve ser feita pelo menos
uma vez por ano. Um excelente conjunto de controles a ser utilizado nessas
auditorias pode ser encontrado na norma ABNT 27002 (2005), que contm uma
srie de requisitos e controles de segurana que podem ser utilizados pelas
organizaes e podem ser utilizados como parmetros para verificao de aderncia
e conformidade.
Sendo assim, observando-se todas as aes que devem ser tomadas em um
programa interno de auditoria em SIC, o auditor, alm de denotar os pontos fortes e
fracos da gesto de SIC como um todo, passa a ser visto como um aliado das
pessoas, departamentos e organizaes sendo auditadas e, com isso, contribuindo
para uma gesto de SIC cada vez mais eficiente e eficaz. Essa concluso tambm
compartilhada por Pinheiro (2011), cuja opinio a de que o auditor no pode ser
visto como um carrasco, mas sim como um aliado de seu auditado.
55
56
Para atingir esses objetivos as empresas devem elaborar, implementar e
testar planos de continuidade de negcios. Nesse sentido, um importante
instrumento a ser utilizado a norma ABNT 15999-1 (2007) que fornece/recomenda
um sistema de continuidade de negcios e estabelece um ciclo de vida para a
gesto de continuidade de negcios.
Por ltimo, e no menos importante, cita-se a publicao da Instruo
Normativa Complementar n 06 (IN06, 2009) que estabelece diretrizes para a
Gesto de Continuidade de Negcios, nos aspectos relacionados SIC, nos rgos
e entidades da APF, como um importante instrumento que impulsiona as empresas
pblicas a tambm perceberem a relevncia sobre o tema e tomarem aes no
sentido de se garantir as propriedades bsicas de SIC, que so: a disponibilidade, a
integridade, a confidencialidade e a autenticidade.
57
3 Metodologia
58
Para a execuo das etapas 3 (produo e sistematizao dos dados) e 3.1
(aplicao dos instrumentos de investigao) foram utilizadas as seguintes tcnicas
para coleta de dados:
Realizao de anlises de documentos:
o Memorandos;
o Ofcios de Comunicao Interna;
o Documentos administrativos.
Realizao de anlises de registros:
o De operaes e servios executados;
o Relacionados a processos e procedimentos operacionais.
Realizao de entrevistas, tanto de forma espontnea, quanto de forma
focada (com horrio marcado), com perguntas planejadas;
Aplicao de questionrios;
Observao direta das atividades e servios executados;
Observao participante.
Os dados coletados foram tratados de forma mista (qualitativa ou quantitativa,
dependendo da natureza do dado) e denotam os resultados dos diversos estudos de
caso realizados para a execuo desse trabalho monogrfico.
A anlise de dados (etapa 4) baseou-se nas onze sees de controles de
segurana da informao conforme descritos na norma ABNT 27002 (2005). Cada
uma das onze sees da norma ABNT 27002 (2005) compem-se por diversas
categorias, cada categoria com um objetivo de controle principal, dividido em um ou
mais controles que ajudam a atingir o objetivo de controle principal. Alm disso,
comps o conjunto de dados levantados, os resultados de questes de suporte
propostas pelos protocolos de estudo de caso das disciplinas do curso de gesto em
SIC, CEGSIC 2009-2011.
Foram envolvidos na pesquisa, participando das entrevistas, ou respondendo
aos questionrios, os profissionais das seguintes reas:
Tecnologia da Informao e Comunicaes (TIC)
RH;
Licitaes;
Gerncia de redes e infraestrutura de computadores;
Jurdico;
59
Gesto de contratos; e
Demais reas que se fizeram necessrias.
Para a execuo das etapas 3 e 4 (produo, sistematizao e anlise dos
dados e resultados), em relao s reas Poltica e Cultura de SIC, Organizaes e
Sistemas de Informao, Controles de Segurana Fsica e Ambiental, Controle de
Acesso, Gerenciamento das operaes e comunicaes, Criptografia e infraestrutura
de chaves pblicas, Segurana no desenvolvimento de aplicaes, Tratamento de
Incidentes de SI, Auditoria e conformidade de SI, e Gesto de continuidade no
servio pblico, foi utilizado o modelo de anlise de conformidade com a norma
27002 (2005), conforme desenvolvido por Salgado, Silva e Bandeira (2004), que
criaram um modelo de avaliao, baseado na confeco de planilhas, de acordo
com as seguintes sees da supracitada norma: Poltica de segurana, Segurana
organizacional, Classificao e controle dos ativos de informao, Segurana em
pessoas, e Segurana fsica e do ambiente.
Este modelo serviu de base na elaborao das planilhas das demais sees
especificadas pela norma, que so: Gerenciamento das operaes e comunicaes,
Controle de acesso, Desenvolvimento e manuteno de sistemas, Gesto de
incidentes de segurana da informao, Gesto da continuidade do negcio e
Conformidade. Segue na Tabela 3.1 um exemplo da planilha utilizada nas etapas 3 e
4.
Em cada planilha, foram atribudos pesos (coluna Peso) que denotavam a
importncia de um determinado item (requisito de segurana ou controle) por meio
da variao dos valores 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de
implantao em mdio prazo ou 5 (cinco) alta importncia com necessidade de
implantao em curto prazo . Logo em seguida, o item foi classificado quanto a sua
situao, que poderia variar de 0 (zero) a 3 (trs); isto , de uma completa ausncia
0 (zero), 1 (um) presena inexpressiva; 2 (dois) presena parcial e 3 (trs)
representando uma presena total do controle de segurana.
Na coluna valores foram pontuados os valores de referncia; isto , a maior
pontuao possvel multiplicando o peso pela maior pontuao de situao, e
tambm pontuados os valores apurados que seria a multiplicao do peso do item,
pela resposta dada aderncia ao requisito de controle, feita pelo usurio ou
60
responsvel. O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a
aderncia foi calculada pela relao entre o valor apurado e o valor de referncia.
Conformidade
Controle
Item
Conformidade
com
exigncias
legais
1.1
1.2
Perguntas
Existe a preocupao
de evitar violaes de
qualquer lei penal ou
civil, obrigaes
decorrentes de
estatutos, regulamentos
ou contratos e
quaisquer requisitos de
segurana?
A organizao est
sujeita a exigncias de
segurana decorrentes
de estatutos,
regulamentos ou
contratos. Isso
observado?
Classificao
Aderncia
(%)
Peso
Referncia
Apurado
15
15
100,0
15
15
100,0
Resumo
Evitar violaes
de leis penais
ou cveis, de
obrigaes
decorrentes de
estatutos,
regulamentos
ou contratos e
de quaisquer
requisitos de
segurana.
61
4 Resultados
62
Criptografia e Infraestrutura de Chaves Pblicas;
Segurana no Desenvolvimento de Sistemas de Informao;
Tratamento de Incidentes de Segurana;
Auditoria e Conformidade de Segurana da Informao; e
Gesto de Continuidade.
63
4.1.4 Dados coletados
Segue uma sntese dos dados levantados a partir de questionrios
submetidos, totalizando 4 emitidos e 2 respondidos, para se determinar se os
requisitos de segurana da informao e comunicaes, hoje estipulados para o
Sistema XPTO, so suficientes para garantir as propriedades bsicas da
Informao: Disponibilidade, Integridade, Confidencialidade e Autenticidade.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, com suas respostas:
a) Quais portarias e normas regem o sistema?
R: Diversas portarias publicadas por um ministrio especfico determinam as
especificidades e funcionamento do sistema.
b) Qual o impacto da indisponibilidade do sistema?
R: O impacto seria grande, pois traria grandes atrasos no processo.
c) Qual o impacto na imagem da COMPANHIA X se o sistema ficar indisponvel?
R: A imagem da empresa ficaria bastante comprometida junto aos principais
intervenientes, clientes e junto ao pblico em geral.
d) Quais as medidas empregadas para assegurar a continuidade de operao?
R: O processo pode ser conduzido de forma manual por meio do
acompanhamento de toda documentao que entregue de forma impressa.
Contudo, dessa forma o processo estaria sujeito a grandes atrasos e erros pelo
manuseio e controle da informao de forma manual.
e) Existe algum plano de contingncia caso os recursos tecnolgicos no estejam
disponveis para a operao do Sistema XPTO?
R: No existe plano de contingncia.
f) Qual o grau de sigilo das informaes tratadas pelo Sistema XPTO?
R: ( ) Reservada (dados ou informaes cuja revelao no autorizada possa
comprometer planos, operaes ou objetivos neles previstos ou referidos);
(X) Confidencial (dados ou informaes que, no interesse do Poder Executivo
e das partes, devam ser de conhecimento restrito e cuja revelao no
autorizada possa frustrar seus objetivos ou acarretar dano segurana da
sociedade e do Estado.);
(X) Ostensiva (sem classificao, cujo acesso pode ser franqueado).
64
g) As medidas adotadas para tratar com as informaes sigilosas esto
adequadas? Se no, por qu?
R: Sim, no que se refere informao digital, entretanto informao impressa
carece de implementao de processos de protocolos de recebimento e arquivo
da documentao.
h) Foi executado algum processo de gesto de risco para se determinar quais
controles de segurana da informao e comunicaes seriam necessrios?
R: No.
i) Os requisitos de controle de segurana da informao e comunicaes esto
adequados para garantir a disponibilidade, integridade, confidencialidade e
autenticidade das informaes utilizadas pelo Sistema XPTO? Se no, por qu?
De quais controles voc tem conhecimento? Quais controles adicionais voc
poderia sugerir para que se possa melhorar o nvel de segurana das
informaes e comunicaes no processo do Sistema XPTO?
R: Disponibilidade: a informao disponibilizada aos operadores em trs
ambientes no totalmente interligados entre si (sistema, Intranet, Microsoft
Outlook). Isto propicia um tempo maior de anlise dos processos.
executado o treinamento dos operadores do sistema. Alguns documentos so
recebidos pelo software de correio eletrnico e no diretamente pelo sistema.
Integridade: O Sistema XPTO ainda est em desenvolvimento, conforme
relacionado na apresentao de treinamento aos analistas. O Mdulo de
Administrao ainda no est completamente desenvolvido. Em pocas
especficas o sistema deve ser adaptado necessitando de alteraes e
adequaes s especificidades impostas pela legislao e recomendaes
tecidas pelo governo.
Confidencialidade: Sim, apenas os operadores tm o acesso.
Autenticidade:
Recebimento
de
documentao
por
email,
sendo
65
solicitaes dos clientes e aps o trmino do processamento. A manuteno
possvel a qualquer tempo. A verificao do cadastro dos clientes
segregada por rea.
Fragilidades:
O processo de recebimento e armazenamento e encaminhamento de
arquivos digitais pode ser prejudicado devido a esquecimentos por
parte do operador;
O Sistema XPTO no integrado a um sistema de protocolo
automatizado; e
H controle de recebimento impresso por mais de uma pessoa, com
fontes de controle separadas.
66
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT
27002 (2005); a legislao pertinente ao assunto; e registros organizacionais com
informaes sobre os elementos que compem a infraestrutura de TI. Em nvel de
capital humano: O Gestor de TI e Gestor de SIC; o coordenador da rea de
Infraestrutura e suporte; e o Gerente de rede.
4.2.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A infraestrutura de TI atende aos
requisitos de segurana da informao e comunicaes do negcio.
4.2.4 Dados coletados
Seguem os dados levantados para se determinar se a Infraestrutura de TI
atende aos requisitos de SIC para o negcio.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, com suas respostas:
1)
67
d) Que produtos, servios ou funes a organizao desempenha? Quais as
principais funes da organizao? Quais das funes levantadas esto
relacionadas ao cumprimento da misso da organizao?
R: Informao confidencial.
e) Que comportamentos organizacionais so tipicamente observveis pelos
clientes e intervenientes da organizao?
R: Tanto os clientes como o interveniente esperam que os produtos e servios
prestados pela COMPANHIA X primem pela exatido, preciso, eficincia e
eficcia.
2)
68
R: A empresa ainda no tem compreenso total do que Segurana da
Informao e Comunicaes.
g) Como as falhas em elementos da infraestrutura de TI afetam a prestao de
servios e confiabilidade da organizao?
R: Afetam bastante, pois a misso da empresa depende muito da
infraestrutura de TI.
h) Qual a relao entre a eficincia da organizao e sua infraestrutura de TI?
R: A infraestrutura de TI subsidia o capital humano na produo dos
resultados.
3)
4)
Servidores,
storage,
equipamentos
de
backup
(automatizado),
69
b) A implantao dos equipamentos de TI segue um projeto que visa ao
atendimento das necessidades de negcio?
R: Sim.
c) Mesmo os equipamentos de uso individual so vistos como componentes da
infraestrutura de TI da organizao? Esses equipamentos so vistos como
elemento necessrio eficiente prestao de servio pela organizao?
R: Sim, para ambas as perguntas.
d) Como composta a estrutura fsica da rede de computadores? Quais os
equipamentos utilizados? Existe projeto de rede que documente a estrutura
dos componentes da rede?
R: A estrutura fsica utiliza-se de switchs e o projeto documentado. Contudo
o documento no pode ser divulgado, pois sigiloso.
e) Os componentes fsicos de rede so adquiridos e implantados seguindo um
projeto? O projeto leva em considerao as necessidades de prestao de
servios da organizao?
R: Sim, para ambas as perguntas.
f) O cabeamento de rede segue normas adequadas?
R: Sim.
g) O
monitoramento
do
correto
funcionamento
dos
equipamentos
da
Sobre o Datacenter
a) A organizao possui um Datacenter? Como ele est estruturado?
R: Sim. Com rea especfica contando com condicionamento eltrico e
ambiental, independente.
b) Existe a terceirizao de servios de Datacenter pela organizao?
R: No.
70
c) A implantao do Datacenter seguiu um projeto? O projeto foi feito seguindo
normas e padres adequados?
R: Sim.
d) O Datacenter foi projetado de forma a atender as necessidades do negcio?
O seu projeto seguiu alguma norma ou padro?
R: Sim, para a rea de eltrica e de ar-condicionado.
e) Qual a categoria do Datacenter da organizao?
R: Enterprise Datacenter (EDC)
f) Quais os servios prestados pelo Datacenter da organizao?
R: Servios de Rede e Segurana; Servios de Processamento; Servios de
Armazenamento; Servios de Aplicao; Servios de Alta disponibilidade;
Servios de Automao e Gerenciamento.
g) A topologia do Datacenter est de acordo com a norma TIA 9421?
R: No, s parcialmente.
h) Qual a classificao do DATACENTER, de acordo com a norma TIA 942?
R: Tier 22, com algumas restries.
Norma que norteia a construo de Datacenters por partes que so integrveis. Ela define
padres para: layout e espao fsico, infraestrutura de cabeamento, condies ambientais e
classificao por nveis de disponibilidade (ARAUJO, 2010).
2
71
Foram coletadas informaes sobre:
A Poltica de Segurana da Informao e Comunicaes da empresa
(POSIC);
A organizao da Segurana da Informao e Comunicaes na
COMPANHIA X; e
O Programa de Conscientizao em Segurana da Informao e
Comunicaes.
4.3.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto; os registros
organizacionais com informaes sobre a POSIC e sobre o Programa Corporativo
de Conscientizao em Segurana da Informao e Comunicaes. Em nvel de
capital humano: Gestor de TI e Gestor de SIC e o Secretrio-executivo do Comit de
Segurana da Informao e Comunicaes.
4.3.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A Poltica de Segurana da Informao
e Comunicaes adequada para atender aos requisitos de controle de Segurana
da Informao e Comunicaes da COMPANHIA X.
4.3.4 Dados coletados
Seguem as informaes sobre a Poltica de Segurana da Informao e
Comunicaes e a anlise de conformidade dos controles relacionados segurana
da informao e comunicaes, a fim de se determinar se esto em conformidade
com as recomendaes e requisitos de segurana preconizados pela norma ABNT
27002 (2005). Segue, na Tabela 4.1, a consolidao das entrevistas realizadas.
Aderncia
(%)
Domnio
Controle
Item
Perguntas
Classificao
Peso
POLTICA DE
SEGURANA
DA
INFORMAO
Poltica de
Segurana das
Informaes
(A.5.1)
1.1
15
10
66,7
15
15
100,0
1.2
72
Domnio
Controle
Documento de
Definio da
Poltica de
Segurana das
Informaes
(A.5.1.1)
Item
2.1
2.2
2.3
2.4
2.5
2.6
Poltica
Reviso e
Avaliao
(A.5.1.2)
3.1
3.2
3.3
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
15
100,0
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
15
33,3
15
15
100,0
15
10
66,7
15
10
66,7
73
Domnio
Controle
Item
Perguntas
Classificao
Peso
Valores
Referncia Apurado
165
120
Aderncia
(%)
72,7
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
74
A organizao da Segurana da Informao e Comunicaes na
COMPANHIA X;
O Comit de Segurana da Informao e Comunicaes da empresa;
A Coordenao de Segurana da Informao e Comunicaes e sobre
as
Responsabilidades
quanto
Segurana
da
Informao
Comunicaes;
A consultoria Interna em Segurana da Informao e Comunicaes;
A cooperao entre organizaes no que diz respeito Segurana da
Informao e Comunicaes; e
As questes de Segurana da Informao e Comunicaes no que diz
respeito ao acesso de terceiros.
4.4.2 Fontes para a pesquisa:
Serviram como fontes de informao para a coleta de dados, em nvel
documental: as normas tcnicas inerentes rea de SIC, mais especificamente a
norma ABNT 27002 (2005); a Instruo Normativa n 01 (IN01, 2008), a legislao
pertinente ao assunto; e os registros organizacionais com informaes sobre os
elementos que compem a organizao de SIC. Em nvel de capital humano: o
Gestor de TI; o Coordenador da rea de Infraestrutura e suporte; o Coordenador da
rea de Departamento Pessoal e RH; e o Coordenador da rea de Licitaes.
4.4.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A forma como est organizado o
sistema de gesto de Segurana da Informao e Comunicaes na COMPANHIA X
atende aos requisitos de segurana da informao e comunicaes do negcio.
4.4.4 Dados coletados
Seguem as informaes sobre a organizao da SI e a anlise de
conformidade dos controles, a fim de se determinar se esto em conformidade com
as recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.2, a consolidao das entrevistas realizadas.
Controle
Item
Perguntas
Classificao
Peso
ORGANIZAO Comit de
DA
Segurana
1.1
Existem comits de
administrao de segurana da
Valores
Referncia Apurado
15
15
Aderncia
(%)
100,0
75
Domnio
SEGURANA
DA
INFORMAO
Controle
Item
(A.6.1)
1.2
1.3
1.4
1.5
1.6
1.7
1.8
Coordenao
e
Responsabilid
ades da
Segurana
das
Informaes
(A.6.1.1;
A.6.1.2;
A.6.1.3 e
A.6.1.4)
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
0,0
15
15
100,0
15
15
100,0
15
10
66,7
15
0,0
15
15
100,0
15
15
100,0
15
0,0
15
0,0
15
10
66,7
15
10
66,7
15
0,0
15
10
66,7
15
33,3
15
15
100,0
15
10
66,7
76
Domnio
Controle
Item
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17
Consultoria
Interna
(A.6.1.1)
3.1
3.2
3.3
3.4
3.5
Cooperao
entre
organizaes
(A.6.1.7)
4.1
4.2
Reviso da
Segurana
5.1
Perguntas
implementao da segurana e
concedido apoio
identificao e implementao
dos controles?
Existe um gestor para cada
ativo de informao, que o
responsvel pela sua
segurana no dia-a-dia?
As reas de responsabilidade
de cada gerente esto
claramente definidas?
Os diversos ativos e processos
de segurana associados a
cada sistema individual esto
identificados e claramente
definidos?
No caso do gerente
responsvel por cada ativo ou
processo de segurana, os
detalhes dessa
responsabilidade esto
documentados?
Os nveis de autorizao esto
claramente definidos e
documentados?
Atualmente, estabelecido um
processo de autorizao
gerencial para as instalaes
de processamento de
informaes?
A administrao de usurios,
autorizao, sua finalidade e
utilizao so feitas de forma
segura?
concedida autorizao para o
uso de equipamentos pessoais
de forma criteriosa?
Existe um consultor interno de
segurana experiente?
Essa pessoa tambm tem
acesso a consultores externos
apropriados para lhe dar
assistncia em assuntos fora
de sua rea de experincia?
O consultor interno tem acesso
direto a todos os nveis de
gerncia dentro da
organizao?
Os casos de suspeita de
incidente ou violao de
segurana so tratados de
forma correta?
Investigaes internas de
segurana executadas sob o
controle da administrao
podem requerer consultoria
para aconselhar, liderar ou
realizar a investigao. Isso
ocorre?
Atualmente, so mantidos
contatos com autoridades
policiais, rgos reguladores,
provedores de servios de
informaes e operadoras de
telecomunicaes para garantir
a tomada rpida de
providncias e a obteno de
orientao em caso de um
incidente de segurana?
Existe filiao a associaes de
segurana ?
A implementao da poltica de
segurana deve ser revista por
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
33,3
15
33,3
15
33,3
15
0,0
15
33,3
15
33,3
15
33,3
15
15
100,0
15
15
100,0
15
0,0
33,3
15
33,3
33,3
15
0,0
15
0,0
15
0,0
77
Domnio
Controle
Item
(A.6.1.8)
Acesso de
terceiros
(A.6.2.3)
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
6.10
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
33,3
15
33,3
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
15
15
100,0
15
10
66,7
15
15
100,0
15
15
100,0
78
Domnio
Controle
Item
6.11
Perguntas
Classificao
Peso
Valores
Referncia Apurado
Aderncia
(%)
15
15
100,0
633
334
52,8
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
Segue abaixo outra questo que tambm serviu de suporte para a pesquisa,
com sua resposta:
a) Como avalia a organizao da gesto de SIC na COMPANHIA X?
R: Considero que a empresa apresentou melhorias na organizao de SIC de
2008 at o momento. Contudo muitos aprimoramentos e condues de novas
aes esto por vir.
79
As reas seguras da empresa;
Os permetros de segurana;
Os controles fsicos de entrada;
A proteo das instalaes;
Os controles de segurana nas instalaes (escritrios e salas);
O trabalho em reas seguras;
O isolamento das reas de entrega e de carregamento;
A segurana dos equipamentos;
A localizao e proteo dos equipamentos;
O suprimento de energia eltrica;
A segurana do cabeamento;
A segurana na manuteno dos equipamentos;
A segurana dos equipamentos fora das instalaes;
A segurana no descarte ou na reutilizao de equipamentos;
A Poltica de mesa vazia e tela vazia;
As questes de segurana relacionadas retirada de bens;
A preveno e combate a incndios;
As condies gerais de segurana da edificao;
As condies gerais de segurana relacionados com evacuaes;
O suprimento de energia;
As condies de segurana do sistema de ar-refrigerado; e
As condies gerais de segurana relacionados com o suprimento de
gua.
4.5.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os registros
organizacionais com informaes sobre os elementos que compem a segurana
fsica e do ambiente.; as normas tcnicas inerentes rea de SIC, mais
especificamente a norma ABNT 27002 (2005); a Instruo Normativa Complementar
07/2010 (IN07, 2010), e a legislao pertinente ao assunto. Em nvel de capital
humano: o Gestor de TIC; e o Coordenador da rea de Infraestrutura e suporte.
80
4.5.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes relacionados segurana fsica e do ambiente esto
adequados para a COMPANHIA X.
4.5.4 Dados coletados
Seguem as informaes sobre segurana fsica e ambiente e a anlise de
conformidade
dos
controles
relacionados
segurana
da
informao
SEGURANA
FSICA E DO
AMBIENTE
Controle
Permetro de
Segurana
(A.9.1.1)
Valores
Referncia Apurado
Aderncia
(%)
Item
Perguntas
Classificao
Peso
1.1
15
15
100,0
15
15
100,0
15
0,0
15
10
66,7
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
33,3
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
81
Domnio
Controle
Item
1.12
Controles
fsicos de
entrada
(A.9.1.2)
2.1
2.2
2.3
2.4
2.5
2.6
Proteo das
instalaes
(A.9.1.4)
3.1
3.2
3.3
3.4
Controle de
segurana em
escritrios,
salas e demais
instalaes
(A.9.1.3)
4.1
4.2
Perguntas
impedir o acesso no
autorizado e contaminao
ambiental, que pode ser
causada no Data Center,
central de telefonia, unidade
certificadora, arquivos de
documentos sensveis e
estratgicos?
Existem portas corta-fogo no
permetro de segurana? Elas
so equipadas com alarme e
fecham automaticamente?
As reas seguras so
protegidas por controles de
entrada apropriados?
O acesso a informaes e
equipamentos sensveis
controlado e restrito ao pessoal
autorizado?
Existem controles de
autenticao, como cartes
magnticos com nmero de
identificao pessoal (PIN) e/ou
biometria para autorizar e
validar todos os acessos?
As trilhas de auditoria de todos
os acessos so guardadas local
em seguro?
exigido que o pessoal utilize
alguma forma de identificao
visvel e que interpele pessoas
estranhas no acompanhadas e
qualquer pessoa que no esteja
usando uma identificao
visvel?
Os direitos de acesso a reas
seguras so revistos e
atualizados regularmente?
Para a proteo das
instalaes, existe a
preocupao de rea segura
como salas trancadas ou vrias
salas dentro de um permetro
fsico de segurana, que podem
ser trancadas e que disponham
de arquivos de ao com tranca
ou cofres?
A escolha e o projeto de uma
rea segura devem levar em
conta a possibilidade de danos
causados pelos riscos ou
vulnerabilidades. Isso
observado?
So levados em conta os
regulamentos e normas
relevantes de sade e
segurana?
So levadas em considerao
eventuais ameaas
segurana causadas por
instalaes vizinhas, como
infiltraes, vazamento de gua
proveniente de outra rea e
etc.?
Os equipamentos crticos esto
em local no acessvel ao
pblico?
Os prdios so discretos e
indicam o mnimo possvel a
sua finalidade, sem sinais
visveis, dentro ou fora do
edifcio, que identifiquem a
presena de atividades de
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
10
66,7
15
15
100,0
15
15
100,0
15
10
66,7
15
10
66,7
15
33,3
15
0,0
15
15
100,0
15
0,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
82
Domnio
Controle
Item
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.10
O trabalho em
reas seguras
(A.9.1.5)
5.1
5.2
5.3
5.4
5.5
5.6
Perguntas
processamento de
informaes?
Funes e equipamentos de
suporte, (fotocopiadoras e fax),
ficam num local apropriado
dentro da rea segura, para
evitar pedidos de acesso que
poderiam comprometer as
informaes?
So implementados sistemas
apropriados de deteco de
intrusos, instalados segundo
padres
profissionais e testados
regularmente, para cobrir todas
as portas externas e as janelas
acessveis?
As reas no ocupadas
dispem de alarme armado
permanentemente?
Equipamentos administrados
pela organizao ficam
fisicamente separados dos
equipamentos administrados
por terceiros?
As listas de pessoal e listas
telefnicas internas que
identificam a localizao dos
equipamentos de
processamento de informaes
sensveis ficam em local no
acessvel ao pblico?
Materiais perigosos ou
combustveis so armazenados
de modo seguro e a uma
distncia adequada de uma
rea segura?
Os suprimentos em grande
volume so armazenados
dentro de uma rea segura,
somente sendo requisitados
medida que forem sendo
utilizados?
Os equipamentos e mdia de
backup so localizados a uma
distncia segura, para que no
sejam danificados em caso de
um acidente no site principal?
Existem controles e diretrizes
adicionais para aumentar a
segurana de uma rea
sensvel?
Existem controles para o
pessoal e/ou para terceiros que
trabalham dentro da rea
segura?
Atividades de terceiros no
devem ser executadas nesta
rea. Isso observado?
O pessoal s sabe da
existncia de uma rea segura
e das atividades nela
executadas numa base de
necessidade de saber?
evitado o trabalho no
supervisionado em reas
seguras, tanto por motivos de
segurana como para no dar
oportunidade a atividades mal
intencionadas?
As reas seguras desocupadas
so trancadas fisicamente e
inspecionadas periodicamente?
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
10
66,7
15
0,0
15
0,0
15
15
100,0
15
15
100,0
0,0
15
15
100,0
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
15
15
100,0
15
10
66,7
15
10
66,7
83
Domnio
Controle
Classificao
Peso
5.7
O acesso ao suporte de
terceiros restrito s reas
seguras ou aos equipamentos
de processamento de
informaes sensveis e
somente quando necessrio?
O acesso autorizado e
monitorado?
Existem barreiras e permetros
adicionais de controle de
acesso fsico entre reas com
diferentes requisitos de
segurana dentro do permetro
de segurana?
proibida a presena de
equipamento fotogrfico, de
vdeo, udio ou gravao, a no
ser com autorizao?
As reas de entregas e de
carregamento so controladas
e isoladas dos equipamentos
de processamento
deinformaes, a fim de evitar o
acesso no autorizado?
Os requisitos de segurana
para tais reas so
determinados por uma
avaliao dos riscos?
O acesso a uma rea de
armazenagem provisria, a
partir do exterior de um edifcio,
restrito ao pessoal
identificado e autorizado?
A rea de armazenagem
provisria projetada de tal
maneira que os suprimentos
possam ser descarregados
sem que o pessoal de entrega
tenha acesso a outras partes do
edifcio?
O material recebido registrado
ao entrar no site?
Os equipamentos so
localizados ou protegidos de
modo a reduzir o risco das
ameaas e perigos do meioambiente e as oportunidades de
acesso no autorizado?
Os equipamentos so
localizados de modo a
minimizar o acesso
desnecessrio s reas de
trabalho?
Os equipamentos de
processamento e
armazenagem de informaes
que manuseiam dados
sensveis so posicionados de
modo a minimizar o risco de
olhares indiscretos durante o
uso?
Os itens que requerem
proteo especial so isolados
a fim de reduzir o nvel geral de
proteo necessrio?
So adotados controles para
minimizar o risco de ameaas
potenciais, incluindo furto;
incndio; explosivos; fumaa;
gua (ou falha no
abastecimento); poeira;
vibrao; efeitos qumicos;
interferncia no suprimento de
15
15
100,0
15
33,3
15
15
100,0
15
15
100,0
15
15
100,0
15
0,0
15
15
100,0
15
10
66,7
15
15
100,0
15
10
66,7
15
10
66,7
15
0,0
15
10
66,7
15
10
66,7
5.9
5.10
6.1
6.2
6.3
6.4
6.5
Localizao e
proteo dos
equipamentos
(A.9.2.1)
Aderncia
(%)
Perguntas
5.8
Isolamento das
reas de
entregas e de
carregamento
(A.9.1.6)
Valores
Referncia Apurado
Item
7.1
7.2
7.3
7.4
7.5
84
Domnio
Controle
Item
7.6
7.7
7.8
Suprimento de
energia eltrica
(A.9.2.2)
8.1
8.2
8.3
8.4
8.5
8.6
8.7
8.8
8.9
8.10
8.11
8.12
Segurana do
cabeamento
(A.9.2.3)
9.1
9.2
Perguntas
fora; radiao
eletromagntica?
A organizao estabelece uma
poltica referente aos atos de
comer, beber e fumar nas
instalaes de processamento
de informaes ou em sua
proximidade?
So monitoradas as condies
ambientais quanto a fatores que
poderiam afetar negativamente
a operao dos equipamentos
de processamento de
informaes?
So levados em conta o
impacto de um acidente em
instalaes prximas, como por
exemplo um incndio no prdio
vizinho, vazamento de gua do
telhado ou em pavimentos do
subsolo, ou uma exploso na
rua?
Existe suprimento adequado de
eletricidade que atenda s
especificaes do fabricante
dos equipamentos?
Existem mltiplas fontes de
alimentao para evitar que o
suprimento dependa de uma
nica fonte?
Existe suprimento de energia
prova de interrupes (UPS =
sistema no-break)?
Existe planejamento de
contingncia indicando as
providncias a tomar em caso
de falha do UPS?
So realizados testes regulares
dos equipamentos para
assegurar que ele tenha a
capacidade adequada?
Os equipamentos so testados
de acordo com as
recomendaes do fabricante?
As chaves de fora de
emergncia esto localizadas
perto das sadas de emergncia
das salas de equipamentos?
Existe iluminao de
emergncia para o caso de falta
de fora?
Os prdios so equipados com
para-raios?
As instalaes eltricas do
prdio e as instalaes
destinadas aos equipamentos
de energia esto em boas
condies e no oferecem
perigo?
Existe exclusividade das
instalaes eltricas no Data
Center?
Existe um plano de manuteno
para a rede eltrica?
As linhas de fora e as linhas
de telecomunicaes que
entram nos equipamentos de
processamento de informaes
so subterrneas sempre que
possvel ou tm proteo
alternativa adequada?
O cabeamento das redes
protegido contra interceptao
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
33,3
15
10
66,7
15
15
100,0
15
15
100,0
15
33,3
15
10
66,7
15
33,3
15
15
100,0
15
15
100,0
15
0,0
15
33,3
15
15
100,0
15
15
100,0
15
10
66,7
15
10
66,7
15
15
100,0
15
15
100,0
85
Domnio
Controle
Item
9.3
9.4
9.5
9.6
Manuteno
dos
equipamentos
(A.9.2.4)
10.1
10.2
10.3
10.4
10.5
10.6
Segurana dos
equipamentos
fora das
instalaes
(A.9.2.5)
11.1
11.2
11.3
11.4
11.5
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
15
100,0
15
15
100,0
15
15
100,0
15
0,0
15
15
100,0
15
15
100,0
15
15
100,0
15
10
66,7
15
33,3
0,0
15
15
100,0
15
10
66,7
15
10
66,7
15
0,0
15
33,3
86
Domnio
Controle
Item
11.6
11.7
11.8
Segurana no
descarte ou na
reutilizao de
equipamentos
(A.9.2.6)
12.1
12.2
12.3
12.4
Poltica de
mesa vazia e
tela vazia
(A.11.3.3)
13.1
13.2
13.3
13.4
Diretrizes de
14.1
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
33,3
15
0,0
15
0,0
15
10
66,7
15
10
66,7
15
15
100,0
15
33,3
15
0,0
15
0,0
15
0,0
15
0,0
15
10
66,7
87
Domnio
Controle
Item
proteo
(A.11.3.3)
14.2
14.3
14.4
14.5
14.6
Retirada de
bens
(A.9.2.7)
15.1
15.2
Equipamentos
de preveno e
combate a
incndios
(A.9.1.4)
Localizao
dos
equipamentos
de combate a
incndios
(A.9.1.4)
16.1
16.2
16.3
17.1
17.2
17.3
17.4
Distncia de
equipamentos,
produtos ou
locais crticos
(A.9.2.1)
18.1
18.2
18.3
18.4
18.5
Perguntas
computador so armazenados
em estantes apropriadas e
trancadas em outras formas de
moblia de segurana, quando
no estiverem em uso,
principalmente fora do horrio
de expediente?
Informaes empresariais
sensveis ou crticas ficam
trancadas (preferivelmente em
um cofre ou arquivo prova de
fogo) quando no em uso,
principalmente quando no
houver ningum no escritrio?
Os computadores pessoais e
terminais de computador, bem
como as impressoras, ficam
logged-on na ausncia do
operador e protegidos por
bloqueios de teclas, senhas ou
outros controles quando no
estiverem em uso?
Os postos de correspondncia
recebida e enviada e as
mquinas de fax e telex sem a
presena do operador so
protegidos?
As copiadoras so trancadas
(ou protegidas de algum outro
modo contra o uso no
autorizado) fora do horrio
normal de expediente?
Informaes sensveis ou
confidenciais, quando
impressas, so retiradas das
impressoras imediatamente?
Os equipamentos, as
informaes ou o software no
podem sair do site sem
autorizao. Isso verificado?
Quando necessrio e
apropriado, a sada e a
devoluo dos equipamentos
so registradas?
Os equipamentos e os
materiais de combate so
compatveis com o ambiente?
A quantidade existente
suficiente?
Existe contingncia?
A localizao adequada e o
acesso livre?
conferida a validade das
cargas?
As portas de incndio possuem
sensores e alarmes e mola para
fechamento automtico?
Existem detectores de fumaa
sob o piso falso e no teto?
A remoo de lixo diria?
Periodicamente verificada a
necessidade de efetuar
dedetizao e desratizao?
As cestas de lixo so de metal
com tampa com objetivo de
abafar princpios de incndio?
proibida a execuo de
trabalho que gerem poeira na
rea dos equipamentos?
Os quadros de conexes
telefnicas so trancados para
o acesso somente permitido ao
pessoal autorizado?
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
33,3
15
33,3
33,3
0,0
15
10
66,7
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
3
3
5
5
15
15
15
15
100,0
100,0
15
15
100,0
15
0,0
15
10
66,7
3
3
5
5
15
15
15
15
100,0
100,0
15
0,0
15
15
100,0
15
15
100,0
88
Domnio
Controle
Condies
gerais de
segurana da
edificao
Condies
gerais de
segurana
relacionados
com a
edificao
Condies
gerais de
segurana
relacionados
com
evacuaes
Disposio e
infra-estrutura
das edificaes
destinadas
funo.
Suprimento de
energia
(A.9.2.2)
Item
19.1
Perguntas
Os detectores de fumaa so
mantidos e testados de forma
programada?
19.2 Existe sensor de temperatura e
umidade do ar?
19.3 As placas do piso falso so
facilmente removveis para
permitir verificao de fogo e
fumaa?
19.4 O alarme de incndio toca na
vigilncia?
19.5 Existem plantas de localizao
dos extintores e detectores?
20.1 Existe sensoriamento de portas,
janelas, dutos e superviso
predial?
20.2 Existe sala central de controle
de segurana bem localizada e
com qualificao pessoal ?
20.3 O monitoramento do permetro
e reas externas ao prdio
feito via CFTV?
20.4 Existe um servio de vigilncia
de 24 horas, inclusive nos fins
de semana e feriados?
20.5 As sadas de emergncia so
verificadas em relao
usabilidade periodicamente?
20.6 As portas para a rea do Data
Center so mantidas fechadas?
20.7 Existem alarmes para informar
a vigilncia a violao de portas
e acessos a reas do Data
Center?
20.8 feito um rodzio peridico
entre os recepcionistas?
20.9 A rede de iluminao est bem
distribuda e de boa
qualidade?
20.10 O corpo de vigilantes possui um
manual com procedimentos de
emergncia?
20.11 Existe um sistema de
claviculrio no corpo de
vigilantes?
20.12 H um controle rigoroso das
chaves das portas?
21.1 Existe procedimento de
evacuao?
21.2 As sadas de emergncia esto
livres e desimpedidas e em
boas condies?
21.3 Existe iluminao de
emergncia e sinalizao
adequada ( feito teste)?
21.4 Existem telefones internos de
emergncia para comunicao
de sinistros?
21.5 Existe um sistema de alarme
para fazer a evacuao dos
prdios?
22.1 Quadros de luz e iluminao
esto localizados em local
adequado?
22.2 Existe controle de temperatura
nas imediaes do permetro?
23.1 Quedas de tenso frequentes,
oscilaes e sobrecargas so
evitadas?
23.2 As instalaes eltricas do
prdio e as instalaes
destinadas aos equipamentos
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
0,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
33,3
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
66,7
15
15
100,0
15
10
66,7
15
15
100,0
89
Domnio
Controle
Item
23.3
23.4
Arcondicionado
(A.9.2.2)
24.1
24.2
24.3
24.4
24.5
24.6
24.7
24.8
24.9
24.10
24.11
24.12
24.13
24.14
24.15
Condies
gerais de
segurana
relacionados
com
suprimento de
gua
(A.9.2.2)
25.1
25.2
25.3
25.4
25.5
25.6
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
15
15
100,0
15
15
100,0
15
0,0
15
15
100,0
66,7
15
15
100,0
15
15
100,0
15
10
66,7
15
0,0
15
0,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
0,0
15
10
66,7
15
15
100,0
90
Domnio
Controle
Item
Perguntas
Classificao
Peso
Valores
Referncia Apurado
2406
1720
Aderncia
(%)
71,5
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
91
4.6.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A Anlise Ergonmica do Trabalho,
um importante instrumento para a construo da gesto de SIC.
4.6.4 Dados coletados
Seguem os dados levantados para se obter uma melhor compreenso sobre
os comportamentos inseguros dos usurios e a forma como afetam a SIC.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, conforme propostas por Silva (2010b), com suas respostas. Para o
levantamento de dados sobre a organizao s constam as questes de suporte
utilizadas, as respostas foram omitidas pois permitiriam identificar a organizao em
estudo.
1) Sobre a organizao:
a)
b)
c)
d)
hierarquias e atribuies?
g)
fsico e equipamentos?
h)
de segurana vigentes?
j)
k)
l)
restrita?
92
n)
das
rotinas propostos?
c)
d)
existentes?
e)
referencial
adotado,
processo
de
formulao
sensibilizao
dos
funcionrios?
R: Segue uma sntese das respostas: Para a elaborao da POSIC da
COMPANHIA X, levou-se em considerao a norma ABNT 27002 (2005),
referente ao conjunto de melhores prticas em SIC, norma esta que sugere e
indica requisitos de controle de Segurana da Informao e Comunicaes
que podem ser indicados para atenderem aos requisitos de segurana
impostos pelo negcio e pela legislao. Tambm foram observadas as
diretrizes impostas pela Instruo Normativa 01 (IN01, 2008), elaborada pelo
Departamento de Segurana da Informao e Comunicaes do Gabinete de
Segurana Institucional da Presidncia da Repblica.
A POSIC foi elaborada pelo Comit de Segurana da Informao e
Comunicaes que, por sua vez, coordenado pelo Gestor de SIC. Aps
amplo debate e aprovao no mbito do comit, a POSIC foi encaminhada
para apreciao e aprovao por parte da Diretoria Executiva da empresa. A
POSIC foi aprovada pela Diretoria Executiva da empresa e disponibilizada na
intranet da organizao.
No incio de 2010 teve incio o planejamento do Programa Corporativo
de Conscientizao em Segurana da Informao e Comunicaes, que foi
elaborado pelo Comit de SIC. Aps amplo debate, foi aprovado e
encaminhado para aprovao pela Diretoria Executiva (DE) da empresa que
aps analis-lo o aprovou.
93
O programa teve incio em 2010 e foi dividido em duas etapas. A
primeira etapa teve incio com a aplicao de um Seminrio de SIC, que teve
como uma das suas principais atividades, uma palestra que abordou
profundamente a POSIC, explicando em detalhes cada artigo da mesma.
Foram preparados materiais para divulgao e reforo do contedo do
Seminrio. A carga horria desta primeira etapa do seminrio foi de 3 horas.
A segunda etapa consta de um treinamento em Segurana para a
Internet, com uma durao total de 6 horas. O treinamento ter notas de aula,
material didtico disponvel de forma impressa e digital e apoio da equipe
tcnica da empresa. Um dos objetivos dessa etapa melhorar o nvel de
conscientizao
comunicaes,
dos
e
usurios
os
riscos
sobre
inerentes
segurana
da
utilizao
informao
dos
recursos
b)
c)
d)
e)
f)
de segurana prescritas?
g)
i)
j)
k)
l)
do trabalho?
94
R: Segue uma sntese das respostas: Em meados de abril de 2009, foi
implantada
uma
nova
ferramenta
de
antivrus,
com
administrao
selecionada?
b)
c)
d)
e)
f)
g)
h)
Houve comunicao?
i)
Quais so os interlocutores?
j)
k)
l)
m)
n)
informao vigentes?
R: Segue uma sntese das respostas: Apesar dos processos e tarefas de
trabalho dos funcionrios estarem bem documentadas, alguns colaboradores
preferem perguntar ao colega do lado, ao invs de checar a documentao,
sobre como executar uma determinada rotina. Alm disso, tarefas que
95
deveriam ser executadas rotineiramente, aps um determinado perodo, so
esquecidas ou executadas fora do tempo correto.
Privilgios
demais
nos
recursos
computacionais
podem
levar
os
96
4.7.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto; os registros
organizacionais com informaes relacionados s categorias de dados levantadas; e
as observaes sobre o comportamento dos funcionrios. Em nvel de capital
humano: o coordenador da rea de consultoria jurdica, e o Gestor de SIC.
4.7.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: O problema da dicotomia privacidade
versus propriedade conduzido de forma satisfatria na COMPANHIA X.
4.7.4 Dados coletados
Seguem os dados levantados para se obter uma melhor compreenso sobre
a forma como tratada a dicotomia privacidade versus propriedade na COMPANHIA
e sua importncia para a SIC.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, conforme propostas por Machado (2010), em seu protocolo de estudo de
caso. Uma sntese das respostas so dispostas ao final do questionrio., com suas
respostas.
1) Sobre a organizao cenrio do problema
a)
b)
por
distribuio:
desconcentrao
(desdobramento
em
unidades
b)
Segundo a ABNT 27002 (2005) qualquer coisa que tenha valor para a organizao.
97
c)
organizao?
d)
organizao?
e)
organizao?
3) Sobre as equipes de coordenao da segurana ostensiva e investigativa
a)
Incidentes?
b)
c)
d)
e)
Resposta a Incidentes?
4) Sobre o ponto de conflito
a)
98
R: A organizao uma empresa pblica, ligada ao Ministrio Y. O regime de
contratao dos funcionrios celetista, e a empresa estritamente
centralizada.
A empresa conta com uma Poltica de Segurana da informao e
Comunicaes (POSIC) aprovada desde 2009. Contudo, o Programa
Corporativo
de
Conscientizao
em
Segurana
da
Informao
de
trabalho
dos funcionrios
existem
artigos e
clusulas,
99
procedimentos mapeados em processos e cumprir o acordo de nvel de
servio especificado em contrato.
A empresa ainda no conta com uma adequada equipe forense
computacional e nem terceiriza o servio (pelo menos ainda no foi
necessrio). Quem realiza algumas tarefas de percia forense o prprio
Gestor de SIC, mas no de forma completa e nem sistematizada. Ainda no
foi estabelecida uma Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais na instituio.
Os processos de trabalho acabam por interagir com interesses ou
facilidades pessoais dos usurios. Contudo, isso no formalmente definido e
tratado caso a caso. Ocorreram poucos casos de conflitos entre interesses
e facilidades pessoais e interesses de servio. Em um dos casos, prevaleceu
a questo do nvel de controle, em que foi solicitada uma senha importante de
um computador que estava remoto (fora da organizao), e o tcnico de
suporte acabou passando a senha solicitada sem cumprir os devidos
protocolos e cuidados e sem consultar o devido nvel hierrquico que poderia
autorizar a execuo da atividade. Na abordagem aos problemas encontrados
sempre prevaleceu a abordagem tcnica.
Na empresa, a consultoria jurdica trabalha de forma consultiva,
orientando o gestor e os usurios em questes em tese, em questes in
concreto, de forma colaborativa em projetos e servios e tambm de forma
contenciosa, em processos administrativos e/ou judiciais.
100
Foram coletadas informaes sobre:
A implementao fsica do sistema; e
A implementao lgica do sistema.
4.8.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a utilizao do Sistema A; as normas tcnicas inerentes rea de
SIC; a legislao pertinente ao assunto. Em nvel de capital humano: O gerente da
rede e o Gestor de SIC.
4.8.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: O processo de gesto de riscos
imprescindvel para a escolha dos controles de segurana da informao e
comunicaes a serem implantados sobre um ativo informacional da COMPANHIA
X.
4.8.4 Dados coletados
Segue na Tabela 4.4 os resultados consolidados dos dados obtidos
aplicando-se a metodologia de gesto de riscos de SI sobre um importante ativo da
COMPANHIA X. Na Tabela 4.5, Tabela 4.6, Tabela 4.7 e Tabela 4.8 seguem os
critrios utilizados para anlise e avaliao dos riscos.
Tabela 4.4 - Anlise e avaliao de riscos de SI sobre o ativo Sistema A, da
COMPANHIA X.
ID
AMEAA
Fogo
Poeira
Falha do arcondicionado
Interrupo do
sistema de
energia
Furto de mdia
ou documentos
Furto de mdia
ou documentos
Furto de mdia
ou documentos
VULNERABILIDADE
Falta de um
processo de gesto
de continuidade
Sensibilidade
poeira, sujeira
Possibilidade de
superaquecimento
dos equipamentos
Fornecimento de
energia instvel
Armazenamento
no protegido
Armazenamento de
cpias no
controlada
Ineficincia dos
mecanismos de
proteo fsica no
prdio e portas
RISCO
Falta de
disponibilidade da
Informao
Falha do
equipamento
causando falta de
disponibilidade
Falta de
disponibilidade da
Informao
Falta de
disponibilidade da
Informao
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao
PROBABILIDADE
IMPACTO
NVEL DE
RISCO
PRIORIDADE
101
ID
10
11
12
13
14
15
16
17
18
19
20
21
22
AMEAA
Furto de mdia
ou documentos
Furto de mdia
ou documentos
Furto de mdia
ou documentos
Furto de
equipamentos
Furto de
equipamentos
Furto de
equipamentos
VULNERABILIDADE
Trabalho no
supervisionado de
pessoal de limpeza
ou de terceirizados
Poltica de mesas e
telas limpas
inexistente ou
insuficiente
Insuficincia de
mecanismos para o
monitoramento de
violaes da
segurana
Insuficincia de
mecanismos de
proteo fsica no
prdio e portas
Insuficincia de um
processo disciplinar
no caso de
incidentes
relacionados
segurana da
informao
Inexistncia de
uma poltica formal
sobre o uso de
computadores
mveis
Uso no
autorizado de
equipamento
Uso no
autorizado de
equipamento
Uso de cpias
de software
falsificadas ou
ilegais
Inexistncia de
polticas para o uso
correto de troca de
mensagens
Inexistncia de
procedimentos para
o relato de
fragilidades ligadas
segurana
Insuficincia de
procedimentos para
garantir a
conformidade com
RISCO
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
integridade e
autenticidade da
informao
Pode afetar a
disponibilidade da
informao
Pode afetar a
disponibilidade da
informao
Pode afetar a
disponibilidade
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
confidencialidade da
informao
Pode afetar a
Disponibilidade,
Integridade,
Confidencialidade e
Autenticidade (DICA)
da Informao
Pode afetar a DICA
PROBABILIDADE
IMPACTO
NVEL DE
RISCO
PRIORIDADE
102
ID
AMEAA
VULNERABILIDADE
RISCO
PROBABILIDADE
IMPACTO
NVEL DE
RISCO
PRIORIDADE
os direitos de
propriedade
intelectual
23
24
25
26
27
28
29
30
31
32
33
34
35
Comprometimento dos
dados
Erro durante o
uso
Erro durante o
uso
Erro durante o
uso
Erro durante o
uso
Erro durante o
uso
Erro durante o
uso
Abuso de
direitos
Abuso de
direitos
Abuso de
direitos
Abuso de
direitos
Abuso de
direitos
Abuso de
direitos
Utilizar programas
aplicativos com
conjunto errado de
dados (referentes a
um outro perodo)
Documentao
insuficiente
Uso incorreto de
software e
hardware
Falta de
conscientizao em
segurana
Ausncia de
registros nos
arquivos de
auditoria (logs) de
administradores e
operadores
Inexistncia de
procedimentos para
manipulao de
informaes
classificadas
Ausncia das
responsabilidades
ligadas
segurana da
informao nas
descries de
cargos e funes
No execuo de
logout/bloqueio ao
se deixar uma
estao de trabalho
desassistida
Insuficincia de
trilhas de auditoria
Atribuio errnea
de direitos de
acesso
Insuficincia do
procedimento
formal para o
registro e a
remoo de
usurios
Inexistncia de
processo formal
para anlise crtica
de direitos de
acesso
(superviso)
Inexistncia de
procedimento de
monitoramento das
instalaes de
processamento de
informaes
Pode afetar a
integridade da
informao
Armazenamento
inapropriado. Pode
afetar a
disponibilidade da
informao e falta de
conformidade legal
Perda de tempo na
execuo da
atividade
Pode afetar a DICA
Quebra de segurana
sem possibilidade de
auditoria
Armazenamento
inapropriado. Pode
afetar a
disponibilidade e a
confidencialidade da
informao e falta de
conformidade legal
Pode afetar a DICA
Quebra de segurana
sem possibilidade de
auditoria
Pode afetar a
disponibilidade,
integridade e
confidencialidade da
informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade da
informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade da
informao
Pode afetar a DICA
103
ID
36
AMEAA
Indisponibilidad
e de recursos
humanos
VULNERABILIDADE
Ausncia de
recursos humanos
RISCO
IMPACTO
NVEL DE
RISCO
PRIORIDADE
Pode afetar a
disponibilidade da
informao
Legenda:
Tabela 4.5 - Probabilidade
PROBABILIDADE
Muito baixa
Baixa
Mdia
Alta
Muito alta
PROBABILIDADE
VALOR
1
2
3
4
5
IMPACTO
Desprezvel
Baixo
Crtico
Grave
Gravssimo
VALOR
1
2
3
4
5
Impacto
PROBABILIDADE
Muito Baixa
(improvvel)
Desprezvel
Baixo
Crtico
Grave
Gravssimo
1
2
3
4
5
Baixa
(Pouco
provvel)
2
3
4
5
6
Mdia
(Possvel)
Alta
(Provvel)
Muito Alta
(Frequente)
3
4
5
6
7
4
5
6
7
8
5
6
7
8
9
DESCRIO
Implementar as aes de SIC a longo prazo
Implementar as aes de SIC a mdio prazo
Implementar as aes de SIC imediatamente
Legenda
L
M
I
104
O controle de acesso lgico e fsico hoje implementados na
organizao.
4.9.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a sistemtica de controle de acesso na organizao; as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto. Em nvel de
capital humano: o Gestor de SIC e o Coordenador da rea de RH.
4.9.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados a Controle de Acesso, esto
adequados para a COMPANHIA X.
4.9.4 Dados coletados
Seguem as informaes sobre o processo de controle de acesso e a anlise
de conformidade dos controles relacionados segurana da informao e
comunicaes, a fim de se determinar se esto em conformidade com as
recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.9, o resultado consolidado dos dados obtidos.
CONTROLE
DE ACESSO
Controle
Requisitos do
negcio e
poltica
(A.11.1.1)
Valores
Referncia
Apurado
Aderncia
(%)
Item
Perguntas
Classificao
Peso
1.1
15
0,0
15
0,0
1.2
105
Domnio
Controle
Regras de
controle de
acesso
(A.11.1.1)
Aderncia
(%)
Perguntas
Classificao
Peso
1.3
15
10
66,7
33,3
15
10
66,7
15
10
66,7
15
15
100,0
15
10
66,7
15
33,3
15
0,0
15
33,3
15
33,3
15
10
66,7
15
15
100,0
15
33,3
2.1
2.2
2.3
Registro de
usurio
(A.11.2.1)
Valores
Referncia
Apurado
Item
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
106
Domnio
Valores
Referncia
Apurado
Aderncia
(%)
Controle
Item
Perguntas
Classificao
Peso
Gerenciamento
de privilgios
(A.11.2.2)
4.1
As categorias de funcionrios e
os privilgios associados a cada
produto do sistema (sistemas
operacionais, aplicativos, banco
de dados e etc.) so
identificados?
Os privilgios de uso so
concedidos exclusivamente
conforme a necessidade?
O desenvolvimento e o uso de
rotinas do sistema so
incentivadas de forma a evitar
a necessidade de se fornecer
privilgios aos usurios?
Privilgios so estabelecidos
para uma identidade de usurio
diferente daquelas usadas
normalmente para os negcios?
feita a solicitao aos
usurios que assinem uma
declarao a fim de manter a
confidencialidade de sua senha
pessoal e das senhas de grupo
de trabalho? Estas questes
podem estar implcitas nos
contratos de trabalho.
O usurio obrigado a trocar
sua senha na primeira vez que
acessa os sistemas?
No caso do usurio esquecer
sua senha, uma nova senha s
permitida aps a identificao
positiva do usurio?
As senhas temporrias so
fornecidas de forma segura
para os usurios? Evitar o uso
de email desprotegido e o uso
de prestadores de servio.
Os direitos de acesso dos
usurios so analisados
criticamente a intervalos
regulares e aps quaisquer
mudanas? (sugere-se aps um
perodo de seis meses)
As autorizaes para direitos de
acesso privilegiado so
analisadas periodicamente?
(sugere-se trs meses)
Os usurios recebem
treinamento ou recebem
instrues quanto s boas
prticas de segurana na
seleo e uso de senhas?
Os usurios so informados
para: manter a
confidencialidade das senhas;
evitar o registro das senhas em
papel; alterar a senha sempre
que existir qualquer indicao
de possvel comprometimento
do sistema ou da prpria senha;
que sejam fceis de lembrar;
no sejam baseadas em coisas
que outras pessoas possam
facilmente adivinhar ou obter a
partir de informaes pessoais,
por exemplo nomes, nmeros
telefnicos, datas de
nascimento; isentas de
caracteres idnticos
consecutivos ou de grupos de
caracteres somente numricos
ou alfabticos; alterar a senha
15
15
100,0
15
15
100,0
15
15
100,0
15
15
100,0
15
0,0
15
15
100,0
15
15
100,0
15
10
66,7
15
0,0
15
0,0
15
15
100,0
15
10
66,7
4.2
4.3
4.4
Gerenciamento
de senha dos
usurios
(A.11.2.3)
5.1
5.2
5.3
5.4
Anlise crtica
dos direitos de
acesso do
usurio
(A.11.2.4)
6.1
6.2
Uso de senhas
(A.11.3.1)
7.1
7.2
107
Domnio
Controle
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
15
10
66,7
15
10
66,7
15
15
100,0
15
10
66,7
15
0,0
15
0,0
66,7
15
15
100,0
em intervalos regulares ou
baseando-se no nmero de
acessos e evitar a reutilizao
de senhas antigas; alterar
senhas temporrias no primeiro
acesso ao sistema; no incluir
senhas em processos
automticos de acesso ao
sistema, por exemplo
armazenadas em macros; no
compartilhar senhas
individuais?
7.3
Equipamento
de usurio sem
monitorao
(A.11.3.2)
Poltica de
utilizao dos
servios de
rede (A.11.4.1)
Rota de rede
obrigatria
(A.11.4.7)
108
Domnio
Controle
Autenticao
para conexo
externa do
usurio
(A.11.4.2)
Autenticao
de n
(A.11.4.2)
Proteo de
portas de
diagnstico
remotas
(A.11.4.4)
Segregao de
redes
(A.11.4.5)
Controle de
conexes de
rede (A.11.4.6)
Controle do
roteamento de
rede (A.11.4.7)
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
66,7
0,0
15
10
66,7
15
15
100,0
100,0
15
15
100,0
0,0
15
33,3
0,0
15
10
66,7
66,7
109
Domnio
Controle
Segurana dos
servios de
rede
Identificao
automtica de
terminal
(A.11.4.3)
Procedimentos
de entrada no
sistema (logon) (A.11.5.1)
Identificao e
autenticao de
usurio
(A.11.5.2)
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
66,7
66,7
15
0,0
66,7
15
15
100,0
0,0
15
10
66,7
66,7
33,3
110
Domnio
Controle
Sistema de
gerenciamento
de senhas
(A.11.5.3)
Uso de
programas
utilitrios
(A.11.5.4)
Alarme de
intimidao
para a
salvaguarda de
usurios
(A.13.1.1)
Desconexo de
terminal por
inatividade
Limitao do
tempo de
conexo
(A.11.5.6)
Restrio de
acesso
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
15
10
66,7
15
15
100,0
15
15
100,0
15
15
100,0
33,3
33,3
100,0
0,0
66,7
66,7
0,0
0,0
0,0
66,7
111
Domnio
Controle
informao
(A.11.6.1)
Isolamento de
sistemas
sensveis
(A.11.6.2)
Registro (log)
de eventos
(A.10.10.1)
Monitorao do
uso do sistema
Procedimentos
e reas de risco
(A.10.10.2)
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
66,7
15
10
66,7
15
10
66,7
15
0,0
33,3
15
15
100,0
15
15
100,0
33,3
15
33,3
66,7
66,7
15
10
66,7
112
Domnio
Controle
Monitorao do
uso do sistema
- Fatores de
risco
(A.10.10.2)
Monitorao do
uso do sistema
- Registro e
anlise crtica
dos eventos
(A.10.10.3 e
A.10.10.4)
Sincronizao
dos relgios (A.
10.10.6)
Computao
mvel
(A.11.7.1)
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
66,7
15
33,3
15
10
66,7
15
15
100,0
15
10
66,7
15
10
66,7
15
15
100,0
15
15
100,0
15
10
66,7
15
15
100,0
15
15
100,0
15
0,0
15
0,0
113
Domnio
Controle
Trabalho
remoto
(A.11.7.2)
Item
Perguntas
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
15
15
100,0
15
10
66,7
15
15
100,0
15
10
66,7
15
10
66,7
15
33,3
15
0,0
15
10
66,7
0,0
33,3
33,3
15
15
100,0
100,0
114
Domnio
Controle
Item
Perguntas
Classificao
Peso
Valores
Referncia
Apurado
Aderncia
(%)
15
10
66,7
15
15
100,0
1305
810
62,1
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
115
4.10.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os processos de TI ora praticados pela
empresa esto em conformidade com os controles recomendados pelos domnios
Aquisio e Implementao e Entrega e Suporte de Servios de TI do framework
COBIT.
4.10.4 Dados coletados
Seguem as informaes sobre os processos praticados pela TI e sua
conformidade
framework COBIT,
Auditado
Formalidade
A TI executa?
Maturidade
Importncia
Item
AQUISIO E IMPLEMENTAO
1
AI1
IDENTIFICAR SOLUES
AUTOMATIZADAS
AI2
ADQUIRIR E MANTER
APLICATIVOS DE
SOFTWARE
AI3
ADQUIRIR E MANTER A
INFRA-ESTRUTURA DE
TECNOLOGIA
AI4
HABILITAR A OPERAO
E USO
AI5
ADQUIRIR RECURSOS DE
TI
AI6
GERENCIAR MUDANAS
AI7
INSTALAR E
HOMOLOGAR SOLUES
E MUDANAS
Formalidade
Maturidade
Auditado
Importncia
Item
A TI executa?
116
ENTREGA E SUPORTE
8
DS1
DEFINIR E GERENCIAR
NVEIS DE SERVIO
DS2
GERENCIAR SERVIOS
DE TERCEIROS
10
DS3
GERENCIAR
DESEMPENHO E
CAPACIDADE
Formalidade
Auditado
A TI executa?
Maturidade
Importncia
Item
117
11
DS4
ASSEGURAR A
CONTINUIDADE DO
SERVIO
12
DS5
GARANTIR A
SEGURANA DOS
SISTEMAS
13
DS6
IDENTIFICAR E ALOCAR
CUSTOS
14
DS7
EDUCAR E TREINAR
USURIOS
15
DS8
GERENCIAR O SERVICE
DESK E INCIDENTES
DS9
GERENCIAR A
CONFIGURAO
17
DS10
GERENCIAR PROBLEMAS
18
DS11
GERENCIAR DADOS
19
DS12
GERENCIAR O AMBIENTE
FSICO
20
DS13
GERENCIAR OPERAES
SG
Formalidade
Maturidade
16
Auditado
Importncia
Item
A TI executa?
118
Legenda:
Importncia: O quanto importante para a organizao - 1 (no importante); 2 (pouco importante); 3 (importante); 4 (mdia
importncia); 5 (muito importante).
Grau de Maturidade: 0 (Inexistente - No so aplicados processos de gesto); 1 (Inicial
hoc) e no organizados; 2 (Repetitivo
Os
processos
esto
Formalidade
Auditado
A TI executa?
Maturidade
Importncia
Item
119
O processo est formalizado: Existe um contrato, um Acordo de Nvel de Servio (ANS) ou um procedimento claramente
documentado (Sim (S), No (N) ou ?).
120
4.11.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: um conjunto de
dados pesquisados na organizao e as normas internas que regulam os sistemas.
Em nvel de capital humano: o Gestor de SIC.
4.11.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A implementao de controles para
prevenir a indisponibilidade de sistemas e reduzir as vulnerabilidades do ambiente
faz com que o prestgio do gestor da organizao aumente.
4.11.4 Dados coletados
Seguem abaixo os resultados consolidados dos dados obtidos.
R: Durante a pesquisa foram denotadas inmeras vulnerabilidades, em que
algumas j eram de conhecimento da equipe de gesto de SIC, e outras foram
explicitadas. Para cada vulnerabilidade denotada acentuou-se a existncia ou
necessidade de implementao de um controle especfico. Porm, ainda no foram
confeccionados os planos de ao para a implementao para a maioria dos
controles. Contudo, o que j foi implementado foi de maneira planejada seguindo
uma linha estratgica. Esse item influi de forma positiva no prestgio do gestor, pois
os usurios entendem as dificuldades a serem subjugadas por uma empresa pblica
para aquisio e implementao de solues.
Quanto s informaes sobre possveis ataques que explorassem as
vulnerabilidades aos ativos informacionais no foram encontrados dados histricos
documentados e nem um processo formalmente institudo que tratasse a questo.
H um controle forte de preveno contra vrus e demais malwares (software mal
intencionados) com uma poltica de utilizao de antivrus, com atualizao
constante, atualizao de demais softwares bsicos e aplicativos das estaes de
trabalho e servidores e dos software de firmware (software utilizado internamente em
placas controladoras de dispositivos de hardware) necessrios. Denota-se aqui a
premncia de instituio de uma Equipe de Tratamento de Incidentes em Redes
Computacionais (ETIR) e definio de seus procedimentos e tarefas. Salienta-se
que o feedback passado para o gestor de TI sobre o nvel de segurana adotado na
empresa muito bom e a maioria dos usurios confia na segurana da infraestrutura
de TI.
121
A questo dos custos e oramentos levada bem a srio e so observados
perodos especficos para a confeco do oramento e execuo do mesmo. Porm
no h uma rubrica especfica para SIC. O gestor de TI centraliza o oramento de TI
das outras reas e ajuda na elaborao de instrumentos que norteiem o processo
licitatrio e de compra das diversas solues necessrias para a empresa. Essa
questo tambm ajuda para elevar o prestgio do gestor.
Quanto disponibilidade dos produtos e servios h uma grande
preocupao
que
seja
garantida
caractersticas
e/ou
nveis
bsicos
de
122
4.12.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 10 Gerenciamento das
Operaes e Comunicaes, da norma da ABNT 27002 (2005).
Foram coletadas informaes sobre:
A gesto de TI; e
A
implementao
de
controles
relacionados
ao
processo
de
Item
Documentao
dos procedimentos
de operao
(A.10.1.1)
1.1
1.2
Perguntas
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
0,0
15
33,3
123
Controle
Item
1.3
1.4
1.5
1.6
Controle de
mudanas
operacionais
(A.10.1.2)
2.1
2.2
2.3
2.4
Segregao de
funes (A.10.1.3)
3.1
3.2
3.3
Separao dos
ambientes de
desenvolvimento e
de produo
(A.10.1.4)
4.1
4.2
4.3
4.4
4.5
Gesto de
recursos
5.1
Perguntas
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
0,0
15
10
66,7
0,0
15
33,3
15
10
66,7
66,7
33,3
15
33,3
15
33,3
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
15
15
100,0
15
15
100,0
66,7
33,3
124
Controle
Item
terceirizados
(A.10.2.1 a
A.10.2.3)
5.2
5.3
5.4
5.5
Planejamento de
capacidade
(A.10.3.1)
6.1
6.2
6.3
Aceitao de
sistemas
(A.10.3.2)
7.1
7.2
7.3
7.4
7.5
7.6
Controles contra
software malicioso
(A.10.4.1)
8.1
8.2
8.3
8.4
8.5
Perguntas
internamente so identificadas?
obtida a aprovao dos gestores ou
responsveis pelos processos e
sistemas?
So vistas as implicaes no plano
de continuidade do negcio?
So estabelecidas normas de
segurana e a conformidade com
essas normas so verificadas?
So estabelecidos procedimentos e
estabelecidas as responsabilidades
no que diz respeito a reportar e tratar
incidentes de segurana?
Os requisitos operacionais dos novos
sistemas so estabelecidos,
documentados e testados antes da
sua aceitao e uso?
As demandas de capacidade so
monitoradas e as produes de carga
de produo futura so feitas de
modo a garantir a disponibilidade da
capacidade adequada de
processamento e armazenamento?
As projees levam em considerao
os requisitos de novos negcios e
sistemas e as tendncias atuais e
projetadas do processamento de
informao da organizao?
Os requisitos de desempenho e de
demanda de capacidade
computacional so levados em
considerao?
So estabelecidos controles para
recuperao de erros, procedimentos
de reinicializao e planos de
contingncia?
So estabelecidos padres
operacionais para os novos
sistemas? Estes procedimentos so
testados?
So coletadas evidncias que o novo
sistema no afetar de forma adversa
os sistemas j existentes,
principalmente em perodos de pico
de demanda de processamento?
Foi considerado o impacto do novo
sistema na segurana da organizao
como um todo?
Foi considerado a necessidade de
treinamento e uso adequado do novo
sistema?
Existe uma poltica formal que exija
conformidade com as licenas de uso
de software e que proba o uso de
software no autorizado?
Existe uma poltica formal para
proteo de riscos associados
importao de arquivos e software?
Foi feita a instalao de software de
deteco e remoo de vrus cuja
atualizao seja regular?
So feitas anlises crticas regulares
de software e de dados dos sistemas
que suportam processos crticos do
negcio? A presena de qualquer
arquivo ou autorizao no
autorizada deve ser formalmente
investigada.
feita a verificao de qualquer
arquivo recebido em meio magntico
vindo de origem desconhecida ou no
autorizada? O mesmo ocorre em
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
10
66,7
15
0,0
15
33,3
15
33,3
15
33,3
15
33,3
15
33,3
15
10
66,7
15
10
66,7
15
33,3
15
33,3
15
0,0
15
33,3
15
10
66,7
15
33,3
15
15
100,0
15
10
66,7
15
15
100,0
125
Controle
Item
8.6
8.7
Cpias de
segurana
(A.10.5.1)
9.1
9.2
9.3
9.4
9.5
9.6
9.7
9.8
Registros de
operao
10.1
10.2
Perguntas
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
33,3
15
33,3
15
15
100,0
15
10
66,7
15
33,3
15
10
66,7
15
33,3
15
0,0
15
33,3
15
33,3
0,0
0,0
126
Controle
Controles da rede
(A.10.6.1)
Item
11.1
11.2
11.3
11.4
Gerenciamento de
mdias removveis
(A.10.7.1)
12.1
12.2
Descarte de
mdias (A.10.7.2)
13.1
13.2
Procedimentos
para tratamento de
informao
(A.10.7.3)
14.1
14.2
14.3
14.4
14.5
Segurana da
documentao dos
sistemas
(A.10.7.4)
15.1
15.2
15.3
Acordos para a
troca de
16.1
Perguntas
operadores so submetidos
checagem regular e independente?
A responsabilidade operacional sobre
a rede segregada da operao dos
computadores?
So estabelecidos procedimentos e
responsabilidades para o
gerenciamento de equipamentos
remotos, incluindo equipamentos nas
instalaes dos usurios?
So estabelecidos controles
especiais para salvaguardar a
confidencialidade e integridade dos
dados dos dados que trafegam por
redes pblicas, e para proteger os
respectivos sistemas?
Existem controles especiais que
mantenham a disponibilidade dos
servios de rede e dos computadores
conectados?
O contedo de qualquer meio
magntico, quando no mais
necessrio organizao e quando
venha a ser retirado da empresa,
apagado?
solicitada autorizao para retirada
de qualquer mdia da organizao?
mantida uma trilha de auditoria
dessas solicitaes?
As mdias que contm informaes
sensveis so descartadas de forma
segura e protegida? Exemplos de
mdias: documentos em papel;
gravao de voz ou de outro tipo;
relatrios impressos; fitas
magnticas; discos removveis e
cartuchos; meio de armazenamento
tico; listagem de programas; dados
de teste; documentao de sistemas.
O descarte de itens sensveis
registrado, mantendo uma trilha de
auditoria?
Todos os meios magnticos so
tratados e identificados indicando o
nvel de classificao?
H restrio de acesso para prevenir
o acesso de pessoas no
identificadas ou autorizadas?
Existe um registro formal dos
destinatrios autorizados dos dados?
Existe uma anlise crtica e peridica
desta lista?
Pode-se garantir que a entrada de
dados completa, o processamento
seja devidamente concludo e que as
sadas sejam validadas?
As mdias so armazenadas em
ambientes compatveis com as
especificaes dos fabricantes?
A documentao dos sistemas
guardada de forma segura?
Existe uma relao das pessoas
autorizadas pelo gestor da aplicao
a terem acesso documentao do
sistema? Existe a preocupao dessa
lista ser a menor possvel?
Documentaes de sistemas
mantidas ou fornecidas por redes
pblicas so protegidas de forma
apropriada?
So definidas responsabilidades pelo
controle e comunicao de
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
15
100,0
15
10
66,7
15
15
100,0
15
15
100,0
15
15
100,0
33,3
15
33,3
15
0,0
15
15
100,0
15
10
66,7
15
0,0
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
66,7
15
33,3
127
Controle
Item
informaes e
software
16.2
16.3
16.4
16.5
Segurana de
mdias em trnsito
(A.10.8.3)
17.1
17.2
17.3
Segurana do
comrcio
eletrnico
(A.10.9.1)
18.1
18.2
18.3
18.4
18.5
Riscos de
segurana
19.1
19.2
Perguntas
transmisses, expedies e
recepes?
So estabelecidos padres tcnicos
mnimos para embalagem e
transmisso?
estabelecido um padro para
identificao dos portadores?
So estabelecidas responsabilidades
e nus no caso de perda de dados?
So estabelecidos controles
especiais para proteo de itens
sensveis, tais como chaves
criptogrficas?
A utilizao de transporte ou de
servio de mensageiro confivel?
definida uma relao de portadores
autorizados em concordncia com os
gestores? Existe um procedimento
para identificao dos portadores?
A embalagem suficiente para
proteger o contedo contra qualquer
dano fsico que possa ocorrer durante
o transporte? A embalagem e
transporte feito de acordo com
especificaes dos fabricantes?
So adotados controles especiais,
quando se fazem necessrios, para
proteger informaes crticas contra
divulgao no autorizada ou
modificaes? Exemplo: uso de
assinatura digital e de criptografia,
diviso do contedo para mais de
uma entrega e expedio por rotas
distintas, entrega em mos.
Em relao autenticao,
requerido um nvel de confiana pelo
cliente e pelo comerciante para se
garantir a identidade de cada um?
Existe autorizao para quem pode
estabelecer preos, emitir ou assinar
documentos comerciais chave? Os
parceiros do negcio tomam
conhecimento disto?
Existem requisitos de
confidencialidade, integridade e prova
de envio e recebimento de
documentos-chave?
Os sistemas comerciais pblicos
divulgam seus termos comerciais
para seus clientes?
considerada a capacidade de
resilincia a ataques dos
computadores centrais utilizados no
comrcio eletrnico e as implicaes
na segurana de qualquer conexo
que seja necessria na rede de
telecomunicaes para sua
implementao?
Foram criados controles para se
reduzir riscos tais como:
vulnerabilidade das mensagens ao
acesso no autorizado, modificao
ou negao do servio;
vulnerabilidade a erros tais como
endereamento e direcionamento
incorretos, falta de confiabilidade e
disponibilidade do servio; impacto da
mudana do meio de comunicao
nos processos do negcio, tal como o
aumento da velocidade dos
encaminhamentos?
So levadas em considerao
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
33,3
15
0,0
15
0,0
15
0,0
15
33,3
15
0,0
15
0,0
0,0
0,0
0,0
0,0
0,0
15
10
66,7
15
0,0
128
Controle
Item
19.3
19.4
Poltica de uso do
correio eletrnico
(A.10.8.1)
20.1
20.2
20.3
20.4
20.5
20.6
Segurana dos
sistemas
eletrnicos de
escritrio
(A.10.8.5)
21.1
21.2
21.3
21.4
21.5
21.6
Sistemas
disponveis
publicamente
(A.10.9.3)
22.1
22.2
22.3
Perguntas
Valores
Referncia
Apurado
Classificao
Peso
Aderncia (%)
15
15
100,0
15
15
100,0
15
33,3
15
33,3
15
33,3
15
10
66,7
15
0,0
15
10
66,7
15
33,3
15
10
66,7
15
15
100,0
15
10
66,7
15
15
100,0
15
10
66,7
15
10
66,7
15
10
66,7
15
10
66,7
129
Controle
Item
22.4
Perguntas
Classificao
Peso
Valores
Referncia
Apurado
Aderncia (%)
15
15
100,0
1302
658
50,5
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa aus ncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
130
e) Existe a compreenso de que a gesto de TI da organizao elemento
central da segurana da informao?
R: A empresa ainda no tem compreenso total do que SIC.
f) Como as falhas em elementos da gesto de TI afetam a prestao de
servios e confiabilidade da organizao?
R: Uma m gesto de TI no garantir que os produtos e servios de TI
necessrios ao negcio sejam entregues e estejam disponveis quando
necessrios.
g) Qual a relao entre a eficincia da organizao e sua gesto de TI?
R: A gesto de TI visa atender a todos os requisitos do negcio, da maneira
mais eficaz e eficiente possvel, com o menor nvel de risco. Como todas as
reas da empresa utilizam-se de recursos computacionais, h uma relao
total de uma boa gesto de TI, com a eficincia da organizao.
h) Os processos e procedimentos relacionados a gesto de TI so repetveis?
Esto definidos? So gerenciados utilizando mtricas? So otimizados
segundo as mtricas adotadas?
R: Ainda no. Estamos em processo de implantao das melhores prticas de
gerenciamento e governana de TI.
131
4.13.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a rea de SIC; as normas tcnicas inerentes rea de SIC; a
legislao pertinente ao assunto. Em nvel de capital humano: o Gestor de SIC.
4.13.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A utilizao de recursos criptogrficos
est adequada e suficiente para viabilizar e assegurar a SIC na COMPANHIA X..
4.13.4 Dados coletados
Seguem as informaes sobre a implementao de controles relacionados
criptografia, a fim de se determinar se esto em conformidade com as
recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.12, a consolidao das entrevistas realizadas.
Criptografia
Controle
Poltica para
o uso de
controles de
criptografia
(A.12.3.1)
Item
7.1
7.2
7.3
7.4
Criptografia
(A.12.3.1)
8.1
Valores
Referncia Apurado
Aderncia
(%)
Perguntas
Classificao
Peso
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
132
Domnio
Controle
Item
8.2
8.3
8.4
8.5
Assinatura
digital
(A.12.3.1)
9.1
9.2
9.3
9.4
9.5
9.6
Gerenciame
nto de
chaves Proteo de
chaves
criptogrfica
s (A.12.3.2)
10.1
10.2
10.3
10.4
Perguntas
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
33,3
15
33,3
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
33,3
15
10
66,7
133
Domnio
Controle
Gerenciame
nto de
chaves Normas,
procediment
os e
mtodos
(A.12.3.2)
Valores
Referncia Apurado
Aderncia
(%)
Item
Perguntas
Classificao
Peso
10.5
15
10
66,7
15
0,0
15
10
66,7
15
0,0
15
0,0
15
10
66,7
15
0,0
390
55
14,1
11.1
11.2
11.3
11.4
11.5
11.6
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
134
1) Sobre a organizao
a) A sua organizao precisa usar criptografia?
R: Sim.
b) Que servios da sua organizao precisam de criptografia?
R: Para utilizao de dispositivos mveis (notebooks, pendrives, etc.);
Email.
c) Que informaes e documentos da sua organizao precisam de
criptografia?
R: Todos os documentos com algum nvel de sigilo e que precisassem
ficar armazenados em dispositivos mveis.
d) Que tipo de criptografia? Simtrica? Assimtrica? Funes de hash?
R: Principalmente a assimtrica.
e) Que
requisitos?
Confidencialidade,
Autenticidade,
no
repdio,
integridade, anonimato?
R: Confidencialidade, autenticidade e integridade.
f) Porque tais servios precisam de criptografia?
R: Pela sensitividade das informaes tratadas e, tambm, pelo fato de
serem depositrias das informaes de terceiros.
g) H plano de classificao de informao quanto ao sigilo, que permitam
orientar os usos da criptografia em sua organizao?
R: Ainda no.
h) H uma poltica para uso de criptografia na organizao?
R: No.
i) H discusses sobre o uso de criptografia na sua organizao?
R: As discusses ainda so incipientes.
2) Sobre recursos tecnolgicos criptogrficos
a) A sua organizao emprega recursos criptogrficos?
R: Sim, temos acesso seguro utilizando-se de SSL.
b) A sua organizao desenvolve recursos criptogrficos?
R: No.
135
c) A sua organizao gerencia recursos criptogrficos?
R: Sim.
d) A sua organizao adquire recursos criptogrficos?
R: Sim.
e) Que tipo de cifras sua organizao utiliza?
R: Informao no disponibilizada.
f) Os recursos criptogrficos so geridos conforme algum modelo?
R: No.
g) H necessidade de criptografia de chave privada na sua organizao?
R: Sim, pretende-se utilizar.
h) H necessidade de criptografia de chave pblica na sua organizao?
R: Sim, pretende-se utilizar.
i) A sua organizao usa os servios da ICP Brasil?
R: No.
j) H recursos humanos disponveis para gerir o uso da criptografia em sua
organizao?
R: Ainda no sabemos dos recursos que sero necessrios.
3) Sitio Web e outros sistemas de informao
a) A sua organizao usa o protocolo https para conferir sigilo as
comunicaes com os usurios do stio?
R: Sim.
b) Os
certificados
digitais
da
sua
organizao
so
gerenciados
adequadamente?
R: No so da cadeia ICP.
4) Sobre Ataques a Sistemas Criptogrficos
a) Os sistemas criptogrficos da sua organizao so muito vulnerveis a
ataques?
R: Informao no disponibilizada.
b) H medidas de proteo em discusso?
R: Sim.
136
c) H anlise de risco?
R: No.
d) H tratamento de incidentes relacionados com perda de sigilo?
R: Est em estruturao.
estudados
todos
os
aspectos
da
seo
12
Aquisio,
137
4.14.4 Dados coletados
Seguem as informaes sobre a implementao de controles relacionados
aquisio, desenvolvimento e manuteno de sistemas, a fim de se determinar se
esto em conformidade com as recomendaes e requisitos de segurana
preconizados pela norma ABNT 27002 (2005). Segue, na Tabela 4.13, a
consolidao das entrevistas realizadas.
Aderncia
(%)
Domnio
Controle
Item
Perguntas
Classificao
Peso
AQUISIO,
DESENVOLVIMENT
O E MANUTENO
DE SISTEMAS DE
INFORMAO
Anlise e
especificao
dos requisitos
de segurana
(A.12.1.1)
1.1
Na especificao dos
requisitos do negcio para
os novos sistemas, ou
melhorias nos sistemas j
existentes, tambm so
especificados os requisitos
de controle?
Consideraes
semelhantes so aplicadas
quando se avaliando
pacotes de software para
as aplicaes do negcio?
Os requisitos e controles
de segurana refletem o
valor, para o negcio, dos
ativos de informao
envolvidos? levado em
conta o dano potencial ao
negcio, resultante de falha
ou ausncia de segurana?
A estrutura para analisar os
requisitos de segurana e
identificar os controles que
os satisfazem est na
avaliao de risco? E no
gerenciamento de risco?
Validaes so aplicadas
na entrada das transaes
de negcio, nos dados
permanentes (nomes e
endereos, limites de
crdito, nmeros de
referncia de clientes) e
nas tabelas de parmetros
(razo de converso de
moeda, taxas de
impostos)?
Existe deteco de erros
de entrada tais como:
valores fora dos limites
aceitveis, caracteres
invlidos nos campos de
dados, dados ausentes ou
incompletos, dados
excedendo os volumes
mximos e mnimos,
controle de dados no
autorizados ou
inconsistentes?
executada uma anlise
crtica peridica dos
arquivos de dados que
confirmem sua validade e
15
10
66,7
15
10
66,7
15
10
66,7
15
0,0
15
10
66,7
15
10
66,7
0,0
1.2
1.3
1.4
Validao de
dados de
entrada
(A.12.2.1)
2.1
2.2
2.3
138
Domnio
Controle
Item
2.4
2.5
2.6
Controle do
processament
o interno reas de
risco
(A.12.2.2)
3.1
3.2
Controle do
processament
o interno Checagens e
controles
(A.12.2.2)
4.1
4.2
4.3
4.4
4.5
4.6
4.7
Autenticao
de
5.1
Perguntas
integridade?
feita inspeo das cpias
de documentos de entrada
de dados para verificar
qualquer modificao no
autorizada dos dados de
entrada?
So estabelecidos
procedimentos de resposta
validao de erros?
So definidas as
responsabilidades de todo
pessoal envolvido no
processo de entrada de
dados?
O projeto de aplicaes
garante que restries so
implementadas para
minimizar o risco de falhas
de processamento que
podem levar perda da
integridade?
So includos
procedimentos que
previnam a execuo de
programas na ordem
errada ou execuo aps
falhas no processamento
anterior?
So estabelecidos
controles de sesso para
acesso formulrios de
sistema para validao de
usurios?
So estabelecidos
controles para reconciliar o
balano dos arquivos de
dados, aps transaes de
atualizao?
So estabelecidos
controles de
balanceamento para
checagem dos balanos de
abertura contra os
balanos de fechamento
anteriores, tais como:
controles entre execuo e
totalizadores de
atualizao de arquivo?
Os dados gerados pelo
sistema so validados?
efetuada a checagem da
integridade de dados ou de
software trazidos ou
enviados entre computador
central e remoto?
efetuada checagem para
garantir que os programas
de aplicao so
executados no horrio
correto?
efetuada checagem para
garantir que os programas
esto executando na
ordem correta e terminando
em caso de falha e que o
processamento
subsequente ficar
suspenso at que o
problema esteja
solucionado?
considerada a
autenticao de
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
15
10
66,7
15
15
100,0
15
10
66,7
15
10
66,7
15
10
66,7
0,0
15
0,0
15
10
66,7
0,0
15
10
66,7
0,0
15
10
66,7
139
Domnio
Controle
Item
mensagem
(A.12.2.3)
5.2
5.3
Validao dos
dados de
sada
(A.12.2.4)
6.1
6.2
6.3
6.4
6.5
Poltica para
o uso de
controles de
criptografia
(A.12.3.1)
7.1
7.2
7.3
Perguntas
mensagens para
aplicaes em que exista
requisitos de segurana
para proteger a integridade
do contedo da
mensagem, por exemplo:
transferncia eletrnica de
fundos, especificaes,
contratos, propostas e
outros com importncia
significativa?
Foi efetuada uma avaliao
de riscos de segurana
para determinar se a
autenticao de
mensagens necessria e
para identificar o mtodo
mais apropriado de
implementao?
Tcnicas de criptografia
so utilizadas como meios
apropriados de
implementao de
autenticao de
mensagem?
efetuada a verificao de
plausibilidade pata testar
se o dado de sada
razovel?
So utilizados contadores
de controle de
reconciliao, que
garantam o processamento
de todos os dados?
So fornecidas
informaes suficientes
para um leitor ou para um
sistema de processamento
subsequente poder
determinar a exata,
completa e precisa
classificao da
informao?
Foram includos
procedimentos que
respondam aos testes de
validao de sada?
Foram definidas as
responsabilidades de todo
o pessoal envolvido com o
processo de sada de
dados?
Foi efetuada uma avaliao
de riscos para determinar o
nvel de proteo que deve
ser dado informao?
A avaliao citada acima
foi utilizada para determinar
se um controle criptogrfico
apropriado, que tipo de
controle deve ser aplicado
e para que propsito e
processos do negcio?
Foi desenvolvida uma
poltica de uso de controles
de criptografia para a
proteo das informaes?
Ela necessria para se
maximizar os benefcios e
minimizar os riscos das
tcnicas criptogrficas e
para se evitar o uso
imprprio ou incorreto.
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
15
10
66,7
15
10
66,7
33,3
0,0
15
10
66,7
15
33,3
15
0,0
15
0,0
15
0,0
140
Domnio
Controle
Criptografia
(A.12.3.1)
Aderncia
(%)
Perguntas
Classificao
Peso
7.4
No desenvolvimento da
poltica, foram
considerados: enfoque da
direo frente ao uso dos
controles de criptografia
por meio da organizao;
enfoque utilizado para o
gerenciamento de chaves,
incluindo mtodos para
tratar a recuperao de
informaes criptografadas
em casos de chaves
perdidas, expostas ou
danificadas; regras e
responsabilidades; normas
a serem adotadas para a
efetiva implementao por
meio da organizao (qual
soluo utilizada para
qual processo do negcio)?
A avaliao de risco foi
utilizada para se identificar
o nvel apropriado de
proteo e levou-se em
conta o tipo e a qualidade
do algoritmo de codificao
a ser utilizado e o tamanho
das chaves criptogrficas a
serem utilizadas?
Foi dada ateno s
regulamentaes e
restries nacionais que
possam ter implicaes no
uso das tcnicas
criptogrficas em diferentes
partes do mundo e com o
fluxo de informaes
codificadas alm da
fronteira?
Foram considerados os
controles aplicados
exportao e importao
de tecnologias de
criptografia?
Foi procurada assessoria
especializada para a
identificao do nvel de
proteo apropriado, para
seleo dos produtos mais
adequados que fornecero
a proteo necessria e a
implementao de um
sistema seguro de
gerenciamento de chaves?
Foi procurada assessoria
legal para expedio de
parecer no que diz respeito
s leis e regulamentaes
aplicveis organizao
que pretende usar
criptografia?
Existe a necessidade de se
verificar quem assinou um
documento eletrnico e
checar se o contedo de
um documento eletrnico
assinado foi modificado?
So tomados cuidados
para se proteger a
confidencialidade da chave
privada? Convm que esta
chave seja mantida em
segredo.
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
33,3
8.1
8.2
8.3
8.4
8.5
Assinatura
digital
(A.12.3.1)
Valores
Referncia Apurado
Item
9.1
9.2
141
Domnio
Controle
Classificao
Peso
9.3
15
33,3
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
33,3
15
10
66,7
15
10
66,7
15
0,0
15
10
66,7
9.5
9.6
10.1
10.2
10.3
10.4
10.5
Gerenciament
o de chaves Normas,
procedimento
s e mtodos
(A.12.3.2)
Aderncia
(%)
Perguntas
9.4
Gerenciament
o de chaves Proteo de
chaves
criptogrficas
(A.12.3.2)
Valores
Referncia Apurado
Item
11.1
11.2
142
Domnio
Controle
Item
11.3
11.4
11.5
11.6
Controle de
software
operacional
(A.12.4.1)
12.1
12.2
12.3
12.4
12.5
12.6
Proteo de
dados de
teste do
13.1
Perguntas
ativao e desativao
definidas para que s
possam ser utilizadas no
perodo estipulado?
So considerados
procedimentos legais para
acessar chaves
criptogrficas caso seja
necessria a apresentao
de informao
descriptografada como
evidncia no julgamento de
uma causa?
So utilizados certificados
de chaves pblicas para
evitar que algum falsifique
uma assinatura digital por
meio da troca da chave
pblica do usurio pela sua
prpria?
O processo que gerou o
certificado de chave pblica
confivel?
Os Acordos de Nvel de
Servio ou contratos com
fornecedores externos de
servio de
criptografia,cobrem
questes relacionadas com
a responsabilidade civil, a
confiabilidade dos servios
e o tempo de resposta para
o fornecimento dos
servios contratados?
A atualizao das
bibliotecas de programa da
produo ocorre apenas
por um bibliotecrio
nomeado e sob autorizao
gerencial apropriada?
O sistema operacional
mantm somente cdigo
executvel?
Algum cdigo executvel
foi implantado no sistema
operacional antes de serem
obtidas evidncias do
sucesso dos testes e
aceitao do usurio? (A
biblioteca com os
programas-fonte s pode
ser atualizada aps o
sucesso com os testes
correspondentes).
mantido um registro (log)
de auditoria para todas as
atualizaes de bibliotecas
de programa em produo?
As verses anteriores dos
software so mantidas
como medida de
contingncia?
O acesso fsico ou lgico
s dado a fornecedores
por motivo de suporte e s
quando necessrio?
solicitada a aprovao da
gerncia? A atividade dos
fornecedores
monitorada?
Nos testes, evitado o uso
de bases de dados de
produo contendo
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
15
0,0
15
10
66,7
15
0,0
15
33,3
15
15
100,0
15
33,3
15
0,0
15
33,3
15
33,3
15
10
66,7
143
Domnio
Controle
sistema
(A.12.4.2)
Item
13.2
13.3
Controle de
acesso a
bibliotecas de
programafonte
(1.12.4.3)
14.1
14.2
14.3
14.4
14.5
14.6
14.7
14.8
Perguntas
informaes pessoais?
Caso no seja possvel
deixar de usar informaes
pessoais da base de
produo nos teste, ocorre
a despersonalizao antes
do uso?
Os controles abaixo so
aplicados para aplicao
de dados de produo
quando os mesmos so
utilizados para testes?
Utilizao dos mesmos
procedimentos de controle
de acesso aplicados aos
sistemas de produo nos
sistemas de testes;
Existncia de uma
autorizao separada cada
vez que for necessria a
cpia para teste de uma
informao em produo;
Apagar dos sistemas de
teste as informaes de
produo logo aps o
trmino dos testes;
Utilizao de uma trilha de
auditoria toda vez que se
fizer necessrio a cpia e o
uso de informaes de
produo para fins de
teste.
evitada a manipulao da
biblioteca de programasfonte em ambiente de
produo?
Foi designado um
responsvel pela biblioteca
de programas-fonte de
cada aplicao?
So tomadas providncias
para que a equipe de
suporte de tecnologia da
informao no tenha
acesso ilimitado s
bibliotecas de cdigofonte?
Programas em
desenvolvimento, ou em
manuteno, so mantidos
em locais diferentes da
biblioteca de programasfonte que estiverem em
produo?
A atualizao das
bibliotecas de programafonte e a distribuio de
programas-fonte para os
programadores s so
efetuadas pelo responsvel
designado em manter a
biblioteca? Ocorre a
autorizao do gestor de
tecnologia para isso?
A lista de programas
mantida em um ambiente
seguro?
mantido um registro de
auditoria que contenha
todos os acessos s
bibliotecas de programafonte?
As verses antigas de
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
0,0
15
15
100,0
15
15
100,0
15
10
66,7
15
33,3
15
10
66,7
15
10
66,7
15
0,0
15
0,0
144
Domnio
Controle
Procedimento
s de controle
de mudanas
(A.12.5.1)
Item
Perguntas
programa-fonte so
arquivadas com uma
indicao clara e precisa
da data e perodo em que
estiveram em produo,
junto com todo o respectivo
software de suporte,
controle de tarefa,
definies de dados e
procedimentos?
15.1 Existem procedimentos
formais de controle de
mudanas que garantam
que os procedimentos de
segurana e controle no
so comprometidos e que
garantam que os
programadores de suporte
s tm acesso s partes do
sistema que so
necessrias ao seu
trabalho?
15.2 garantido que qualquer
mudana somente ser
implementada aps
aprovao e implementada
somente por usurios
autorizados?
15.3 executada uma anlise
crtica dos controles e
procedimentos para
garantir que os mesmos
no sero comprometidos
pelas mudanas?
15.4 So identificados todos os
software de computador,
informaes, entidades de
base de dados e hardware
que necessitem de
correo?
15.5 garantido que o usurio
autorizado aceite as
modificaes antes de
qualquer implementao?
15.6 garantido que a
implementao ocorrer
com o mnimo de
transtorno para o negcio e
no tempo certo?
15.7 garantido que a
documentao do sistema
seja atualizada ao final de
cada modificao? A
documentao antiga
arquivada ou destruda?
15.8 efetuado o controle de
verso para todas as
atualizaes de software?
15.9 Mantm-se uma trilha de
auditoria para toda
modificao requerida?
15.10 garantido que a
documentao de
operao e os
procedimentos de usurio
so modificados conforme
necessrio, de forma a
adequarem as
modificaes efetuadas?
15.11 utilizado um ambiente no
qual os usurios testam
novos software segregados
dos ambientes de
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
15
10
66,7
15
0,0
15
33,3
15
10
66,7
15
10
66,7
15
33,3
15
33,3
15
10
66,7
15
0,0
15
10
66,7
145
Domnio
Controle
Anlise crtica
das
mudanas
tcnicas do
sistema
operacional
da produo
(A.12.5.2)
Item
16.1
16.2
16.3
Restries
nas
mudanas
dos pacotes
de software
(A.12.5.3)
17.1
17.2
17.3
Covert
channels e
cavalo de
Tria
(A.12.5.4)
18.1
18.2
18.3
18.4
18.5
18.6
Perguntas
desenvolvimento e de
produo?
So efetuadas anlises
crticas dos procedimentos
de controle e integridade
da aplicao, que garantam
que no sejam
comprometidas pelas
mudanas efetuadas ao
sistema operacional?
O planejamento e o
oramento anual prevm o
suporte necessrio para
cobrir as revises e testes
dos sistemas devido s
modificaes dos sistemas
operacionais?
garantido que as
modificaes so
efetuadas no plano de
continuidade do negcio?
Se as modificaes do
pacote de software so
essenciais, os pontos a
seguir so levados em
considerao? Risco de
comprometimento dos
controles embutidos e da
integridade dos processos;
necessria obteno do
consentimento do
fornecedor; possibilidade
de obter a modificao
necessria diretamente
como atualizao padro
do programa; impacto de a
organizao se tornar no
futuro responsvel pela
manuteno do software
como resultado da
modificao.
O software original retido
e as modificaes so
efetuadas em uma cpia
claramente identificada?
Todas as modificaes so
testadas e documentadas,
de forma a poderem ser
reaplicadas, se
necessrio?
Os programas so
comprados apenas de
fontes conhecidas e
idneas?
Quando possvel,
efetuada a compra de
programas em cdigofonte, de forma que o
cdigo seja verificado?
So utilizados produtos que
j tenham sido avaliados?
Todo o cdigo-fonte
inspecionado antes de
entrar em produo?
Uma vez que o programa
esteja instalado,
controlado o acesso ao
cdigo e a modificao do
mesmo?
utilizado pessoal de
comprovada confiana para
trabalhar com os sistemaschave?
Valores
Referncia Apurado
Aderncia
(%)
Classificao
Peso
15
0,0
15
0,0
15
0,0
15
10
66,7
15
0,0
15
0,0
15
15
100,0
15
0,0
15
10
66,7
15
0,0
15
0,0
15
15
100,0
146
Domnio
Controle
Item
Desenvolvime
nto
terceirizado
de software
(A.12.5.5)
19.1
19.2
19.3
19.4
19.5
Perguntas
Classificao
Peso
Valores
Referncia Apurado
Aderncia
(%)
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
1395
452
32,4
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
147
O tratamento de incidentes de segurana; e
A implementao dos controles de SIC.
4.15.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a gesto de incidentes de segurana da informao na organizao;
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT
27002 (2005); a legislao pertinente ao assunto. Em nvel de capital humano: o
Gestor de SIC e o Responsvel pela rea de suporte e infraestrutura de redes
computacionais.
4.15.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados gesto de incidentes de segurana
da informao esto adequados para a COMPANHIA X..
4.15.4 Dados coletados
Seguem as informaes sobre a implementao de controles relacionados
gesto de incidentes de segurana da informao, a fim de se determinar se esto
em conformidade com as recomendaes e requisitos de segurana preconizados
pela norma ABNT 27002 (2005). Segue, na Tabela 4.14, a consolidao das
entrevistas realizadas.
Aderncia
(%)
Domnio
Controle
Item
Perguntas
Classificao
Peso
GESTO DE
INCIDENTES
DE
SEGURANA
Reao a
incidentes de
segurana e
falhas
(A.13.1.1)
1.1
33,3
33,3
66,7
100,0
1.2
1.3
1.4
148
Domnio
Controle
Item
1.5
1.6
1.7
1.8
1.9
Comunicao
de incidentes
de segurana
(A.13.1.2)
2.1
2.2
Comunicao
de pontos
fracos de
segurana
(A.13.1.2)
3.1
3.2
3.3
3.4
Aprendendo
com os
incidentes
(A.13.2.2)
4.1
4.2
Perguntas
quaisquer incidentes
observados ou suspeitos, com
a mxima rapidez, ao ponto de
contato designado?
estabelecido processo
disciplinar formal para lidar
com empregados que
cometem violaes de
segurana?
Os incidentes de segurana
so investigados para
apurao da causa e tomada
de ao corretiva?
executada uma anlise
crtica sobre os registros de
falha para assegurar que as
mesmas foram
satisfatoriamente resolvidas?
executada uma anlise
crtica sobre as medidas
corretivas adotadas para
assegurar que no ocorreram
comprometimentos e que as
aes tenham sido
devidamente autorizadas?
So recolhidas provas o
quanto antes, aps a
ocorrncia de um incidente?
So implementados
procedimentos adequados de
feedback, para assegurar que
as pessoas que comunicaram
incidentes sejam informadas
dos resultados, depois que o
incidente foi atendido e
encerrado?
Os incidentes so utilizados no
treinamento de
conscientizao dos usurios,
sobre o que poderia acontecer,
como reagir a tais incidentes e
como evit-los no futuro?
Os usurios de servios de
informaes anotam e
comunicam pontos fracos de
segurana observados ou
suspeitos, e quaisquer
ameaas a sistemas ou
servios?
Essas questes so
comunicadas sua gerncia
ou diretamente ao seu
provedor de servios, com a
mxima rapidez?
dito aos usurios que eles
no devem, em hiptese
alguma, tentar provar um ponto
fraco de que suspeitam?
informado que o teste de um
ponto fraco poderia ser
interpretado como um uso
abusivo potencial do sistema?
So implementados
mecanismos para permitir a
quantificao e monitorao
dos tipos, volumes e custos de
incidentes e falhas de
funcionamento?
Por meio dessas informaes,
so identificados incidentes ou
falhas repetidas ou de alto
impacto?
Valores
Referncia
Apurado
Aderncia
(%)
Classificao
Peso
66,7
15
10
66,7
33,3
15
33,3
0,0
0,0
15
10
66,7
15
33,3
15
33,3
15
10
66,7
15
0,0
15
0,0
15
0,0
149
Domnio
Controle
Item
Perguntas
Classificao
Peso
4.3
indicada a necessidade de
0
controles aperfeioados ou
adicionais para limitar a
frequncia, os danos e o custo
de futuras ocorrncias, ou se
leva em considerao no
processo de reviso da poltica
de segurana?
Procedimentos 5.1
Foram estabelecidos
1
para o
procedimentos que cubram
gerenciamento
potenciais incidentes de
de incidentes
segurana, tais como: falhas
(A.13.2.1)
dos sistemas de informao e
inoperncia de servios; no
obteno de servio; erros
resultantes de dados
incompletos ou inconsistentes;
violao de confidencialidade?
5.2
Tambm so contemplados
0
procedimentos, alm do plano
de contingncia, para: anlise
e identificao das causas dos
incidentes; medidas para
prevenir a recorrncia do
incidente; coleta de trilhas de
auditoria e evidncias
similares?
5.3
Evidncias similares e trilhas
1
de auditoria so coletadas
para: uso como evidncia para
o caso de uma possvel
violao de contrato ou de
normas reguladoras, ou em
casos de crimes; como base
para negociao ou pedidos de
ressarcimento por parte de
fornecedores?
5.4
S pessoal estritamente
2
identificado e autorizado est
liberado para acesso a
sistemas e dados em
produo?
5.5 Todas as aes de emergncia
1
adotadas so documentadas
em detalhe?
Aderncia Geral: "Gesto de Incidentes de Segurana"
Valores
Referncia
Apurado
Aderncia
(%)
15
0,0
15
33,3
15
0,0
33,3
15
10
66,7
15
33,3
264
87
33,0
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela r elao entre o valor apurado e
o valor de referncia.
Seguem abaixo outras questes que tambm serviram de suporte para a pesquisa:
a) Quais as necessidades da organizao referentes preparao para Tratamento
e Resposta a Incidentes de SIC (TRISC)?
R: A organizao precisa aprovar normativo interno que estabelea diretrizes e
metas a serem atingidas para o TRISC.
150
b) Dentre as medidas necessrias e aplicveis, quais esto implementados?
R: O normativo interno que disciplinar a gesto de incidentes encontra-se pronto
e j foi aprovado pelo comit de SIC e pelo departamento jurdico. S falta ser
aprovado pela direo da empresa.
c) H a necessidade de uma equipe dedicada a TRISC?
R: Inicialmente, pelo tamanho e porte da instituio no se justifica uma equipe
dedicada exclusivamente a essa funo.
d) H a necessidade de formao de pessoal referente a TRISC?
R: Sim, h a necessidade de especializao na rea.
151
27002 (2005); a legislao pertinente ao assunto. Em nvel de capital humano: o
Gestor de SIC.
4.16.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados conformidade e auditoria interna
esto adequados para a COMPANHIA X..
4.16.4 Dados coletados
Seguem as informaes sobre a implementao de auditorias e anlises de
conformidades
de
controles
relacionados
segurana
da
informao
Controle
CONFORMIDADE Conformidade
com exigncias
legais
(A.15.1)
Item
1.1
1.2
1.3
1.4
Identificao da
legislao
aplicvel
(A.15.1.1)
2.1
2.2
Preservao
dos registros
da organizao
(A.15.1.3)
3.1
3.2
Perguntas
Classificao
Peso
Valores
Referncia Apurado
Aderncia
(%)
15
15
100,0
15
10
66,7
15
15
100,0
0,0
15
10
66,7
15
33,3
15
10
66,7
Os registros so arquivados de
modo seguro para atender a
15
10
66,7
152
Domnio
Controle
Item
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
3.12
3.13
Perguntas
Classificao
Peso
Valores
Referncia Apurado
Aderncia
(%)
15
10
66,7
15
10
66,7
15
10
66,7
15
0,0
0,0
15
33,3
15
10
66,7
0,0
15
0,0
0,0
15
0,0
153
Domnio
Controle
Item
Perguntas
Conformidade
com a poltica
de segurana
(A.15.2.1)
Classificao
Peso
15
10
66,7
15
33,3
15
0,0
288
135
46,9
Valores
Referncia Apurado
Aderncia
(%)
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
154
Gesto de incidentes de Segurana da Informao;
Gesto da continuidade do negcio; e
Conformidade.
Seguem abaixo outras questes que tambm serviram de suporte para a
pesquisa, com suas respostas:
1) Sobre a organizao, funo, misso, clientes e intervenientes:
a) Quem so os intervenientes da organizao diretamente afetados pelas
atividades de auditoria de segurana da informao?
R: No h um interveniente diretamente afetado pela auditoria de segurana
da informao.
b) Que produtos, servios ou funes a organizao desempenha? Quais as
principais funes da organizao? Quais das funes levantadas esto
relacionadas a auditoria de segurana da informao?
R: A auditoria de segurana da informao deveria perpassar por todas as
funes da empresa, uma vez que todas as reas utilizam a informao,
como insumo bsico de trabalho. Contudo, isso ainda no uma realidade.
c) Quem so os clientes da organizao? Com quem se relaciona? Quais as
expectativas dos clientes da organizao acerca das funes por ela
desempenhadas? Resultados de auditoria influenciam essas expectativas?
R: Os resultados das auditorias de segurana no influenciam as expectativas
dos clientes, pois seus resultados ainda no so divulgados e s so
utilizados internamente para direcionar o planejamento e andamento dos
projetos da rea de segurana da informao e comunicaes.
d) Que comportamentos organizacionais so tipicamente observveis pelos
clientes e intervenientes da organizao envolvidos com segurana da
informao?
R: Tanto os clientes como o interveniente esperam que os produtos e
servios prestados pela COMPANHIA X primem pela exatido, preciso,
eficincia e eficcia e garantam as propriedades bsicas da informao
relacionadas segurana, que so: a disponibilidade, a integridade, a
confidencialidade e a autenticidade.
155
e) Que tempos (periodicidade das aes) tpicos so exibidos pela organizao
no desempenho de suas funes de auditoria? Quais os ciclos de
desempenho de funes junto aos clientes? Com que sazonalidade as
funes de auditoria so desempenhadas?
R: As auditorias de segurana so executadas a cada dois anos, ou sempre
que se fizer necessrio.
2) Sobre a auditoria de Gesto de Segurana da Informao
a) Se a sua organizao j tem o trabalho de auditoria de gesto da segurana
da informao, como essa auditoria est organizada?
R: A auditoria de segurana da informao foi desenvolvida inicialmente
dentro da rea de tecnologia da informao e comunicaes e hoje est
sendo realizada no mbito do comit de segurana da informao e
comunicaes.
b) Qual a viso dos dirigentes da sua organizao em termos de posicionamento
da auditoria de segurana na estrutura organizacional? Estratgico, ttico ou
operacional.
R: A auditoria como um todo ainda no teve repercusso na alta direo. S
est balizando os trabalhos da rea de segurana como um todo.
c) Existe um comit, comisso ou grupo de trabalho permanentemente
preocupados em discutir a auditoria de segurana da informao e os
impactos de seus resultados nos rumos da organizao?
R: A auditoria de segurana ainda no amplamente discutida no comit de
segurana, mas debatida com o Gestor de SIC.
d) A sua organizao possui planejamento estratgico? A auditoria de
segurana da informao parte desse processo?
R: A organizao ainda no possui planejamento estratgico.
e) Voc j participou da elaborao de um plano de auditoria de segurana da
informao? Sua rea foi contemplada no plano?
R: A auditoria de segurana contempla todas as reas especificadas pela
norma ABNT 27002 (2005) e o secretrio-executivo do comit de SIC foi o
autor do processo.
156
f) Quais so os nveis de relacionamentos que os auditores estabelecem com
as outras reas da organizao? Existem segregao de funes?
R: Todas as reas mostram-se muito solicitas quando so inquiridas a
participar do processo de auditoria. Ainda no existe segregao de funo.
g) Que tipos e graus de dependncias a organizao tem da auditoria de
segurana da informao para decidir sobre os negcios ou misso?
R: No h grau de dependncia.
h) Na sua organizao voc produtor ou consumidor da informao? Nos dois
casos, voc poderia realizar trabalhos de auditoria?
R: Sou produtor e consumidor de informao. Sim, poderia realizar trabalhos
de auditoria.
i) Se produtor de informaes voc segue algum padro predefinido? Se
consumidor, que normas voc obedece para que a informao chegue at o
processo decisrio?
R: No existem normas e processos estabelecidos para esse propsito.
j) Que dados de monitoramento so coletados pela rea de gesto de
segurana informao? Em que estgio se encontra esse monitoramento e
como seus resultados so retroalimentados para a alta administrao?
R: O monitoramento encontra-se em fase de planejamento.
k) Existe algum mecanismo organizacional (comit, comisso, grupo de trabalho
etc.) que esteja em funcionamento na sua organizao, exclusivamente
preocupado com segurana dos ativos de informao?
R: Existe o comit de segurana da informao e comunicaes. Alm dela, a
diretoria como um todo tambm se preocupa com a proteo dos ativos de
informao.
3) Sobre a auditoria de desempenho operacional
a) Como funciona um modelo de auditoria de desempenho operacional na sua
organizao?
R: Hoje a auditoria de segurana tenta verificar a importncia do controle de
segurana da informao para a organizao e o quanto ele est
implantado/executado; isto , se ele plenamente executado, parcialmente
157
executado, ou se ainda no foi implantado. Contudo, ainda no est sendo
levado em conta sua eficincia e eficcia.
Os pontos de controle relacionados gesto das operaes e comunicaes,
conforme preconizados pela norma ABNT 27002 (2005)
tambm so
avaliados.
b) H compreenso, dentro da organizao, de que a complexidade da auditoria
poderia ser melhor tratada se adotasse um plano de desempenho para toda a
organizao?
R: No.
c) Sua organizao valoriza a informao como um ativo que se deve proteger
como um bem de capital? At que ponto a organizao considera a
informao como um ativo crtico sem o qual muitas das suas operaes no
poderiam ser realizadas?
R: A empresa tem plena noo disso, inclusive, no seminrio de SIC essa
questo abordada.
d) Como a confiabilidade ou a falta de confiabilidade nas informaes afetariam
economicamente ou socialmente a sua organizao? A sua organizao j
avaliou o impacto financeiro e social?
R: A falta de confiabilidade afetaria muito a organizao, pois no teria mais a
confiana das empresas que depositam/entregam informaes, muitas vezes,
com alto valor estratgico para o pais.
e) Quem faz parte (atores) da definio dos processos que apiam a produo,
transmisso, guarda e o fluxo de informao?
R: Os gestores das reas. Contudo, os processos ainda no so mapeados
na maior parte da organizao.
f) Existem
processos
ou
macroprocessos
de
auditoria
desenhados
158
R: Elas so integralmente utilizadas e so um importante instrumento para a
gesto de segurana da informao e comunicaes. Servem como
referncia e como fonte dos controles de segurana a serem utilizados na
organizao.
h) Como a entrega de resultados da auditoria de segurana da informao
planejada e comunicada na sua organizao? Existem instncias que
analisam esses resultados para posterior retroalimentao nas operaes de
segurana?
R: O resultado da auditoria entregue ao Gestor de SIC, tambm serve de
insumo para os trabalhos a serem executados pelo secretrio-executivo do
comit de SIC.
i) Em que grau de aderncia est a forma de organizao de auditorias de
segurana da informao proposta no texto base em relao aquela adotada
pela sua organizao?
R: Em um nvel razovel de aderncia.
j) As informaes obtidas com os processos de auditoria de segurana da
informao so transformadas em insumo para os requisitos de negcio de
sua organizao?
R: Ainda no, mas os requisitos de negcio servem de insumo para a
auditoria de segurana.
k) Existem medidas de desempenho (indicadores) para a auditoria implantada
na sua organizao?
R: Ainda no.
4) Sobre a auditoria de conformidade
a) Qual o modelo de poltica de segurana da informao da organizao?
usada e difundida como referncia para as aes de segurana?
R: No caso da COMPANHIA X, levou-se em considerao para a elaborao
da POSIC em vigor, a norma ABNT 27002 (2005), referente ao conjunto de
melhores prticas em Segurana da Informao e Comunicaes (SIC),
norma esta que sugere e indica requisitos de controle de segurana da
informao e comunicaes que podem ser indicados para atenderem aos
requisitos de segurana impostos pelo negcio e pela legislao. Tambm
159
foram observadas as diretrizes impostas pela Instruo Normativa 01,
elaborada pelo Departamento de Segurana da Informao e Comunicaes
do Gabinete de Segurana Institucional da Presidncia da Repblica.
A POSIC foi elaborada pelo Comit de Segurana da Informao e
Comunicaes que, por sua vez, coordenado pelo Gestor de SIC. Aps
amplo debate e aprovao no mbito do comit, a POSIC foi encaminhada
para apreciao e aprovao por parte da Diretoria da empresa. Salienta-se
que o comit formado por representantes de todas as Diretorias da
empresa, e por um membro do Departamento Jurdico.
A POSIC foi aprovada pela Diretoria da empresa em 2009 e foi
disponibilizada na intranet da organizao.
Foi aprovado o Programa Corporativo de Conscientizao em Segurana da
Informao e Comunicaes, elaborado pelo Comit de SIC, que tem como
objetivos,
divulgar
POSIC,
dar
incio
uma
sensibilizao
dos
160
e) Qual a poltica de documentao utilizada pela organizao? Existe um
padro definido para toda a organizao?
R: Ainda no. Esse assunto ser objeto de uma futura licitao a fim de que
se contrate empresa especializada para tratar do assunto.
f) Os sistemas de informao desenvolvidos ou adquiridos na sua organizao
segue algum tipo de metodologia padronizada? Se sim, como a organizao
verifica se h no conformidades?
R: No.
g) Existem procedimentos para proteo dos ativos de informao da sua
organizao com base em especificaes tcnicas?
R: Sim, no geral procura-se seguir as orientaes das normas da ABNT, nos
mais diversos temas.
h) Sua organizao utiliza prticas como COBIT, ITIL, PMBOK no que diz
respeito s questes de segurana ou ela prpria desenvolveu as suas
prticas?
R: Os conceitos de alguns desses frameworks so utilizados. Contudo, no
dispe de ferramentas de software que automatizem os processos.
i) O processo de seleo existente para o pessoal que ir trabalhar diretamente
com ativos de informao segue procedimentos padronizados?
R: No. A contratao se d por concurso pblico.
161
A conformidade com normas e polticas de segurana da informao e
demais conformidades tcnicas; e
Os pr-requisitos para a implementao da gesto de continuidade de
negcios.
4.17.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a rea de segurana da informao e comunicaes na organizao;
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT
27002 (2005); a Instruo Normativa Complementar 06/2009 (DSIC/GSI/PR), e a
legislao pertinente ao assunto. Em nvel de capital humano: o Coordenador da
rea de RH e Servios Gerais.
4.17.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados continuidade do negcio esto
adequados para a COMPANHIA X..
4.17.4 Dados coletados
Seguem as informaes sobre o processo de gesto de continuidade de
negcios e a anlise de conformidade dos controles relacionados segurana da
informao e comunicaes, a fim de se determinar se esto em conformidade com
as recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.16, a consolidao das entrevistas realizadas.
Controle
GESTO DA
Gesto da
CONTINUIDADE continuidade do
DO NEGCIO
negcio
(A.14.1.1)
Item
Perguntas
1.1
1.2
1.3
Classifica
o
Peso
Valores
Referncia
Apurado
Aderncia
(%)
15
0,0
15
0,0
15
0,0
162
Domnio
Controle
Item
1.4
1.5
1.6
1.7
Continuidade
do negcio e
anlise de
impacto
(A.14.1.2)
2.1
2.2
2.3
2.4
Documentao
e
implementao
de planos de
continuidade
(A.14.1.3)
3.1
Estruturao do
plano de
continuidade do
negcio
(A.14.1.4)
4.1
4.2
Perguntas
Classifica
o
Peso
Valores
Referncia
Apurado
Aderncia
(%)
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
163
Domnio
Controle
Item
4.3
4.4
4.5
4.6
Teste dos
planos
(A.14.1.5)
5.1
5.2
5.3
5.4
5.5
5.6
Manuteno e
reavaliao do
planos
(A.14.1.5)
6.1
6.2
Perguntas
Classifica
o
Peso
Valores
Referncia
Apurado
Aderncia
(%)
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
15
0,0
164
Domnio
Controle
Item
6.3
Perguntas
Classifica
o
do negcio so imediatamente
contempladas, ou atualizadas,
no plano de continuidade?
So levadas em considerao
0
as situaes que podem
demandar atualizao do
plano, tais como: aquisio de
novo equipamento,
atualizao de sistemas
operacionais, aplicativos,
alterao de pessoal,
alterao de endereos ou
nmeros telefnicos,
alteraes de estratgias de
negcio, mudanas na
legislao, mudana na
localizao de recursos, troca
de fornecedores ou mudana
de contrato?
Aderncia Geral: "Gesto Da Continuidade
do Negcio"
Peso
Valores
Referncia
Apurado
Aderncia
(%)
15
0,0
405
0,0
Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.
165
f) Quais atividades e setores da organizao esto mais diretamente relacionados
misso do rgo, ou seja, quais os setores e atividades prioritrios para a
implantao de uma cultura de GCN?
R: Todas as reas da empresa so importantes e deveriam participar de todas as
etapas do projeto de GCN.
g) H uma cultura de GCN disseminada e implantada nos fornecedores e parceiros
de sua organizao?
R: Se for um requisito que o fornecedor tenha recursos/processos de GCN
especificado no edital que dar margem licitao. Depois, essa questo
averiguada durante a prestao de servios.
166
5 Discusso
167
logo aps o incio do processo e, sempre que houver a troca de senha
solicitada pelo prprio usurio;
Utilizao de controles fsicos para tratar o recebimento de documentos
e informaes referentes a cada projeto;
Utilizao de backup centralizado e automatizado;
Efetivao de Controle de acesso lgico do cliente que precisa efetivar
carga dos dados no sistema, com login individual;
Utilizao de perfis de segurana para garantir diferentes nveis de
autorizao para uso e consulta do sistema; e
Utilizao
de
respostas
padronizadas
automatizadas
para
pelos
usurios,
so
executadas
pela
equipe
de
desenvolvimento de sistemas;
Necessidade de documentar melhor as reunies de tomadas de
deciso, no que diz respeito implementao de melhorias e
168
correes impostas pela legislao, inclusive no que diz respeito
realizao interna entre a equipe de anlise e de desenvolvimento; e
Falta de mapeamento do fluxo de trabalho dos usurios assistentes.
5.1.3 Anlise
A pesquisa teve um importante fator no detalhamento dos principais requisitos
de segurana atualmente postos em prtica pelo sistema XPTO. Diversos aspectos
positivos foram encontrados, contudo, tambm percebe-se pelas respostas aos
questionrios, e pela avaliao das entrevistas, que muito ainda h que ser feito
para se viabilizar e assegurar a SIC das informaes do sistema de misso crtica
em questo.
A pesquisa tambm servir como base para uma futura anlise de riscos que
ajudar a levantar as vulnerabilidades e possveis aes para mitigao ou
eliminao das mesmas.
importante denotar que algumas das vulnerabilidades detectadas durante a
pesquisa j foram tratadas pelos usurios e deixaram de existir.
A pesquisa denotou que os requisitos de segurana da informao e
comunicaes sendo atualmente utilizados no sistema de misso crtica XPTO so
funcionais, mas ainda h muito o que se fazer para se garantir plenamente as
propriedades bsicas da informao, que so a disponibilidade, integridade,
confidencialidade e autenticidade.
A hiptese O conjunto de requisitos de segurana da informao e
comunicaes estabelecidos inicialmente para o sistema de misso crtica XPTO
so suficientes para atender aos requisitos de negcio estabelecidos e os requisitos
de controle preconizados pelas melhores prticas do mercado, inicialmente
proposta fica, ento, refutada, pois os controles ainda no so plenamente
suficientes para assegurar todas as propriedades de SIC.
Sendo assim, levar em considerao dados e informaes advindos de
sistemas de misso critica torna-se uma atividade de extrema importncia para a
construo de um sistema de gesto de SIC eficiente e eficaz.
169
A empresa em si, como misso, funes, clientes, intervenientes,
processos, produtos, servios, funes e negcios que realiza;
A infraestrutura de TI, incluindo informaes sobre investimento, viso
estratgica, e relao com a cultura organizacional;
Os elementos da infraestrutura de TI, como por exemplo: estrutura
eltrica, climatizao e controles de acesso fsico;
Os computadores e demais equipamentos relacionados, desktops,
laptops, servidores, clusters e storage;
Os equipamentos de rede e Telecom;
Os sistemas de armazenamento e recuperao; e
O Datacenter da organizao.
5.2.1 Aspectos positivos encontrados
As informaes iniciais demonstram que a implantao da infraestrutura de TI
tem seguido um projeto inicial que tem se baseado nas normas e melhores prticas
de cada rea correlacionada (rede, eltrica, refrigerao e etc.) e tem procurado
mitigar e reduzir os riscos e vulnerabilidades ao negcio.
Cada compra de equipamento precedida de um processo que demanda um
projeto, uma nota tcnica, que esteja previsto no oramento (normalmente feito no
ano anterior), que atenda a uma necessidade do negcio e que esteja dentro dos
padres e normas de funcionamento e segurana.
Antes de serem colocados em produo os equipamentos so testados at
que sejam finalmente homologados e normalmente sua manuteno fica
subordinada a um SLA (Service Level Agreement) regido por um contrato. A partir
de ento feita a gesto comercial e tcnica do contrato, com fiscais diferentes para
cada rea.
Existe uma documentao bem detalhada da infraestrutura de rede, cujo
projeto apresenta vrios cuidados quanto necessidade de resilincia e
continuidade, apresentando sempre que possvel mais de uma rota de comunicao
entre dois ativos do backbone principal.
A distribuio dos servidores fsicos e virtuais pelos respectivos servios
prestados documentada. Alm disso, tem-se buscado documentar o processo de
instalao de cada um dos servidores, o que serviria de base para a elaborao de
um disaster recovery.
170
No que diz respeito ao fornecimento de energia, utilizam-se no-breaks, com
bateria suficiente para atender a at duas horas de falta de abastecimento e as
cargas so distribudas pelos circuitos. O projeto eltrico foi conduzido por
profissional habilitado e documentado.
Quanto refrigerao, tambm buscou-se consultoria externa para o correto
dimensionamento e ter-se redundncia. Tanto o projeto eltrico e de ar-condicionado
esto adequados e so suficientes para atender aos requisitos do negcio.
O prdio e o condomnio em que hoje se situa o escritrio-central da empresa,
utiliza o conceito de prdio inteligente e utiliza-se de uma srie de medidas de
segurana que valem para todas as empresas do edifcio, dentre essas medidas
destacam-se:
Controle de acesso por meio de catraca na entrada do edifcio,
exigindo-se a passagem de crach por parte dos colaboradores e a
identificao dos visitantes a fim de que consigam entrar no prdio;
Os corredores do hall dos elevadores e das reas comuns so servidos
por cmeras;
Realizao de pelo menos dois exerccios de simulao de incndio ao
ano;
Existncia de brigada de incndios;
Extintores testados e verificados dentro de uma regularidade prevista; e
Existncia de Sprinklers em todas as reas;
O Datacenter foi completamente remodelado utilizando-se de princpios
de redundncia em relao aos sistemas de:
o Fornecimento de energia eltrica;
o ar-condicionado; e
o Nobreaks.
5.2.2 Aspectos negativos encontrados
Seguem os aspectos negativos que mais se destacaram:
O processo de instalao dos servidores no est completamente
documentado;
171
No adoo de uma biblioteca de melhores prticas de gesto de
servios de TI, como o ITIL5, a fim de se aprimorar os processos hoje
em funcionamento6;
Falta de um catlogo de servios que permita denotar que ativos da
infraestrutura so mais crticos para o negcio (conforme preconizado
pelas melhores prticas em gerenciamento de TI); e
No realizao de anlise de riscos sobre os ativos da infraestrutura de
TI de forma a se levantar as vulnerabilidades e ameaas que podem
atuar sobre os ativos da infraestrutura de TI.
5.2.3 Anlise
Finalizando, com os dados e informaes levantadas conseguiu-se responder
questo de pesquisa Como est organizada a infraestrutura de tecnologia da
informao na COMPANHIA X? A infraestrutura de TI na COMPANHIA X atende aos
requisitos de segurana da informao e comunicao do negcio?, desse estudo
de caso, por meio do conhecimento de como est organizada a infraestrutura de TI e
que a mesma est parcialmente atendendo aos requisitos de segurana da
informao e comunicaes do negcio, com algumas ressalvas, que precisam ser
tratadas to logo possvel.
Com isso, a hiptese A infraestrutura de TI atende aos requisitos de
segurana da informao e comunicaes do negcio, proposta nesse estudo, fica
parcialmente comprovada.
Uma maneira de mudar essa situao seria por meio da adoo de uma
ferramenta que possa automatizar os processos de gesto de TI. Destacam-se
abaixo, exemplos de processos que poderiam ser implantados e automatizados.
Esses processos baseiam-se na verso 2 do ITIL7 (2000). Outros :
Gesto de incidentes;
Gesto de Problemas;
5
O ITIL hoje encontra-se na verso 3, com um nmero bem maior de processos, quando comparado
com a verso 2. Contudo, a verso 2 implementada por um grande nmero de fornecedores de
software do mercado.
172
Gesto de Mudanas;
Gesto de Liberaes
Gesto de Configurao;
Gesto de Nvel de Servios;
Gesto Financeira;
Gesto de Disponibilidade
Gesto da Capacidade; e
Gesto de Continuidade.
Por conseguinte, levar em considerao dados e informaes relacionados
infraestrutura de TI tambm de extrema importncia para a construo de um
sistema de gesto de SIC eficiente e eficaz.
173
5.3.2 Sobre a adequao da POSIC aos requisitos de controle de Segurana
da Informao e Comunicaes da COMPANHIA X
Para verificao da adequao da POSIC, aos requisitos de controle de
Segurana da Informao e Comunicaes (SIC) da COMPANHIA X, foi realizada
uma anlise de aderncia e conformidade com a norma ABNT 27002, quanto
seo Poltica de Segurana da Informao, analisando-se os requisitos de controle
sugeridos ou recomendados. Estes requisitos deram margem criao das
questes que foram analisadas.
Por meio das respostas foi obtida uma descrio mais detalhada da
abrangncia da POSIC avaliando se a mesma estava aderente aos requisitos de
controle de segurana da informao e comunicaes preconizados pela norma. O
ndice de aderncia final alcanado foi de 72,7% que indica o esforo at ento
realizado pela empresa para estar aderente s melhores prticas de SIC
preconizadas pelo mercado e sua inteno de cumprir as determinaes da
legislao.
Vale salientar que uma anlise de aderncia similar a esta, em relao
mesma seo da norma ABNT 27002 (relativo POSIC), realizada em dezembro de
2008, atingiu o valor de 9,1% de conformidade, o que representa que desta data, at
o momento, ocorreu uma grande melhoria no processo de gesto de SIC como um
todo.
Sendo assim, considera-se a POSIC da COMPANHIA X adequada no
atendimento dos requisitos de segurana impostos pelo negcio. Contudo, os itens
que obtiveram classificao 2 (presena parcial do controle de segurana da
informao) precisam ser aprimorados, o que deve ser atingido com o
desenvolvimento e implantao das normas de segurana complementares que
apoiaro a POSIC, dentre estas:
Norma para Utilizao de Recursos Computacionais;
Norma para Controle de Acesso;
Norma para Gesto de Ativos;
Norma referente Segurana Fsica e do Ambiente;
Norma para Gesto das Operaes e Comunicaes;
Norma para Aquisio, Desenvolvimento e Manuteno de Sistemas
de Informao;
174
Norma para Gesto de Incidentes;
Norma para Gesto da Continuidade do Negcio; e
Norma para Gesto de Conformidade.
5.3.3 Sobre a adequao do Programa Corporativo de Conscientizao em
Segurana da Informao e Comunicaes s necessidades da
COMPANHIA X
O Programa Corporativo de Conscientizao em Segurana da Informao e
Comunicaes foi elaborado pelo Comit de SIC e aps amplo debate, foi aprovado
e encaminhado para aprovao pela Diretoria Executiva (DE) da empresa.
O programa teve incio em 2010 e foi dividido em duas etapas. A primeira
etapa iniciou com a aplicao de um Seminrio de SIC, que teve como uma das
suas principais atividades, uma palestra que abordou profundamente a POSIC,
explicando em detalhes cada artigo da mesma. Foram preparados materiais para
divulgao e reforo do contedo do Seminrio. A carga horria desta primeira etapa
do seminrio foi de 3 horas.
A segunda etapa engloba um treinamento em Segurana para a Internet, com
uma durao total de 6 horas. O treinamento ter notas de aula, material didtico
disponvel de forma impressa e digital e apoio da equipe tcnica da empresa. Um
dos objetivos dessa etapa melhorar o nvel de conscientizao dos usurios sobre
segurana da informao e comunicaes, e os riscos inerentes utilizao dos
recursos computacionais, principalmente a Internet.
O Programa entrou em um ciclo contnuo de melhorias e deve ser aplicado
tambm a todos os novos usurios que vierem a ingressar na empresa. Alm disso,
a presena de todos os usurios da empresa, nas duas etapas do Programa,
obrigatria.
5.3.4 Anlise
Com as medidas adotadas, considera-se adequado o Programa Corporativo
de Conscientizao em Segurana da Informao e Comunicaes.
Segue na Figura 5.1 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Poltica de
Segurana da Informao, analisando-se os requisitos de controle recomendados.
175
REFERNCIA
APURADO
0
POLTICA - REVISO
E AVALIAO
(A.5.1.2)
DOCUMENTO DE
DEFINIO DA POSIC
(A.5.1.1)
atende aos
176
uma anlise de aderncia e conformidade com a norma ABNT 27002 (2005) quanto
seo Organizando a Segurana da Informao, analisando-se os requisitos de
controle sugeridos ou recomendados.
Estes requisitos deram margem criao das questes que foram analisadas.
Alm disso, outras informaes coletadas nos registros e demais documentos da
instituio foram levados em considerao na anlise.
5.4.1 Sobre o comprometimento da direo do rgo com a Segurana da
Informao e Comunicaes
O comprometimento da direo da empresa com a Segurana da Informao
e Comunicaes efetivamente documentado e expressado por meio de um artigo
contido na POSIC da empresa, que denota todo o apoio e aes a serem
observadas pela mesma, para se garantir e viabilizar a SIC.
Art. # - A Direo Executiva da COMPANHIA X, no uso de suas
prerrogativas, de acordo com orientaes e conformidades que se fazem
necessrias em razo do Decreto n 3.505, de 13 de Junho de 2000, e da
Instruo normativa GSI n 1, de 13 de Junho de 2008, compromete-se a:.
(Art. #, Poltica de Segurana da Informao e Comunicaes da
COMPANHIA X)
Alm disso, as notas aferidas pela anlise de aderncia norma ABNT 27002
(2005), referente ao controle Comit de Segurana, denotam a existncia do
comit e que o mesmo est atuando ativamente, j tendo elaborado e aprovado a
POSIC, junto Diretoria Executiva (DE) da empresa.
As perguntas que receberam classificao 3 (presena total do controle de
segurana) expressam que o item em questo est plenamente presente na
instituio.
Todas as aes do Comit necessitam de aprovao da diretoria executiva o
que denota o comprometimento da direo com o assunto SIC. A DE instituiu o
comit tendo uma abordagem multidisciplinar, com representantes de cada diretoria
e, tambm, instituiu o cargo de gestor de SIC, atribuindo essa funo a um
colaborador da empresa. Por ltimo, ressalta-se que a DE aprovou a implantao de
um Programa Corporativa de Conscientizao em SIC e que teve incio em 2010.
5.4.2 Sobre a coordenao e responsabilidades de Segurana da Informao e
Comunicaes
Seguem abaixo os pontos positivos levantados:
177
Em 2008, foi nomeado um gestor de SIC. Suas atribuies e
competncias esto descritas nos artigos contidos na POSIC da
empresa.
Em alguns artigos da POSIC tambm so estabelecidas as
responsabilidades do Gestor da Informao e do Custodiante da
informao.
O Gestor de SIC atua ativamente e coordena o CSIC. Ele tambm atua
junto equipe de infraestrutura e suporte tomando medidas
preventivas e corretivas quanto aos incidentes de SIC.
Seguem abaixo os pontos negativos levantados:
As responsabilidades pelos ativos individuais no esto claramente
definidas;
No avaliado adequadamente a implementao de controles
especficos de segurana da informao e comunicaes para novos
sistemas e servios;
No estabelecido nenhum processo de gesto de riscos e
classificao das informaes, e sem isso, fica difcil estabelecer
corretamente as responsabilidades pelos ativos.
As notas aferidas pela anlise de aderncia norma ABNT 27002
(2005), referente ao controle Coordenao e Responsabilidades da
Segurana da Informao, denotam que vrios itens receberam
pontuao, mas a grande maioria recebeu a classificao 1, o que
representa uma presena inexpressiva do controle de segurana em
questo e que muito ainda h que ser feito at se atingir a classificao
3 (presena total do controle de segurana).
5.4.3 Sobre
Consultoria
Interna
em
Segurana
da
Informao
Comunicaes
A empresa mantm hoje em seus quadros consultoria especializada em SIC.
Contudo, a anlise de aderncia norma ABNT 27002 (2005) em relao aos itens
do controle Consultoria interna apresentou notas muito baixas denotando que os
processos hoje sendo executados pelos respectivos profissionais precisam de
aprimoramento e formalismo.
178
Recomenda-se a implantao de processos para gesto de incidentes, com
foco especial em incidentes relacionados SIC, gesto de problemas, gesto de
mudanas e gesto de nvel de servios. Tambm recomenda-se que todas as
atividades e processos desempenhados por estes profissionais sejam mapeados e o
conhecimento envolvido na execuo das tarefas seja documentado.
5.4.4 Sobre a cooperao entre a empresa e outras organizaes no que diz
respeito Segurana da Informao e Comunicaes
Seguem abaixo os pontos positivos levantados:
Execuo de aes visando a continuidade do negcio e dos servios
de TI, dentre elas:
o Backup em fita disponibilizado em local fora do site principal da
empresa;
o Poltica de backup que, no momento, est sendo aprimorada;
o Utilizao de ferramenta de software para gesto do backup,
assim como de uma unidade de fita robotizada, com vrios
drives para gravao e grande capacidade; e
o Especificao de termos de referncia que sempre tenham
acordos de nvel de servio bem definidos e que contemplem o
tempo de retorno de equipamentos, produtos e servios
operao normal de trabalho.
Seguem abaixo os pontos negativos levantados:
A anlise de aderncia norma ABNT 27002 (2005) em relao ao
item de controle Cooperao entre organizaes apresentou nota
zero (completa ausncia do controle de segurana) para as duas
perguntas deste tpico; e
No h um processo formal de gesto de continuidade estabelecido e
nem um plano de recuperao de desastres implementado.
5.4.5 Sobre o acesso de terceiros informao produzida ou custodiada pela
COMPANHIA X
Seguem abaixo os pontos positivos levantados:
Diversos aspectos relacionados SIC normalmente so tratados em
todos os contratos externos estabelecidos, tais como: questes de
confidencialidade da informao produzida ou custodiada pela
179
empresa; questes de propriedade industrial, questes relacionadas
continuidade e garantia dos servios ou produtos;
O controle de acesso atualmente utiliza biometria;
Existem sensores de movimento espalhados em alguns pontos
estratgicos que alertam a sala de controle do condomnio em caso de
movimentos em horrios fora do horrio;
Est em vigor uma POSIC vlida e aplicvel para todos os usurios da
empresa, sejam internos, terceirizados, fornecedores de produto ou
servio. Inclusive, os funcionrios terceirizados iro participar do
Programa Corporativo de Conscientizao em SIC; e
As notas aferidas pela anlise de aderncia norma ABNT 27002
(2005), referente ao controle Acesso de terceiros, foram razoveis;
isto
somente
(presena
180
segurana da informao e comunicaes. O ndice de aderncia final alcanado,
nas categorias detalhadas na seo 4.4.4 (desse trabalho monogrfico), foi de
52,8% o que denota o esforo at ento realizado pela empresa para estar aderente
s melhores prticas de SIC preconizadas pelo mercado e sua inteno de cumprir
as determinaes da legislao.
Segue na Figura 5.2 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Organizando a
Segurana da Informao, analisando-se os requisitos de controle recomendados.
300
ACESSO DE TERCEIROS
(A.6.2.3)
200
100
COORDENAO E
RESPONSABILIDADES DA
SI (A.6.1.1; A.6.1.2;
A.6.1.3; A.6.1.4)
0
REVISO DA SEGURANA
(A.6.1.8)
CONSULTORIA INTERNA
(A.6.1.1)
COOPERAO ENTRE
ORGANIZAES (A.6.1.7)
REFERNCIA
APURADO
181
existe
vrias
recomendaes
da
norma
so
182
Os equipamentos administrados pela organizao ficam fisicamente
separados dos equipamentos administrados por terceiros;
evitado o trabalho no monitorado em reas seguras;
As reas de entrega e de carregamento so isoladas;
So tomados cuidados quanto localizao e proteo dos
equipamentos;
O suprimento de energia eltrica adequado e satisfatrio;
utilizado No-break (Uninterruptible Power Supply - UPS) para toda a
rea do Datacenter;
O cabeamento de rede e eltrica foi lanado seguindo as normas
referentes rea;
Os cabos de fora ficam fisicamente separados dos cabos eltricos;
Os equipamentos recebem manuteno com a periodicidade e de
acordo com as especificaes recomendadas pelo fabricante;
A utilizao de qualquer equipamento da empresa, fora de suas
instalaes, s ocorre com autorizao da chefia imediata do usurio;
So tomados cuidados quanto ao descarte e reutilizao de
equipamentos;
A retirada de bens da empresa s ocorre com autorizao;
A dedetizao efetuada com regularidade;
Existem planos de escape para casos de incndio, com realizao de
treinamentos espordicos e planejados;
As sadas de emergncia so verificadas em relao usabilidade
periodicamente;
Existem
linhas
telefnicas
analgicas
interligando
as
centrais
183
5.5.2 Pontos negativos que mais se destacaram na pesquisa
Seguem os pontos negativos levantados:
No foi realizada anlise de risco para determinar os permetros de
segurana que efetivamente precisariam ser mais bem controlados;
H a necessidade de se rever, com uma menor periodicidade, os
direitos de acesso fsico;
necessrio rever o local e a distncia para a disponibilizao das fitas
de backup, conforme preconizado pela norma ABNT 27002 (2005) ;
Falta estabelecer uma poltica ou norma referente aos atos de comer e
beber prximo aos equipamentos;
necessrio se implementar os processos de gesto de continuidade
e planos de recuperao de desastres para tratar, inclusive, questes
relacionadas ao ar-condicionado, suprimento de energia eltrica e etc.
Existem aes sendo tomadas, mas que demandam um maior
formalismo; e
Precisam-se
estabelecer
controles
mais
aprimorados
para
184
Segue na Figura 5.3 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Controles de
Segurana Fsica e Ambiental, analisando-se os requisitos de controle sugeridos ou
recomendados.
SEGURANA FSICA E DO AMBIENTE
PERMETRO DE SEGURANA (A.9.1.1)
COND. GERAIS DE SEG. RELACIONADOS COM
CONTROLES FSICOS DE ENTRADA (A.9.1.2)
250
SUPRIMENTO DE GUA (A.9.2.2)
AR-CONDICIONADO (A.9.2.2)
PROTEO DAS INSTALAES (A.9.1.4)
200
150
100
50
CONDIES GERAIS DE SEGURANA
RELACIONADOS COM A EDIFICAO
REFERNCIA
APURADO
185
5.6.1 Sobre a instituio
A COMPANHIA X uma empresa sem vcios administrativos e, em parte, se
comporta quase como uma empresa privada. Porm muita coisa ainda precisa ser
feita, tais como:
Necessidade de se elaborar o seu planejamento estratgico;
Necessidade de se implantar um escritrio de projetos;
Necessidade de se implantar ferramentas que documentem e
automatizem processos, tarefas e atividades;
Criar um conjunto de normas que atendam aos processos levantados e
mapeados pelo outro projeto;
importante ressaltar que medidas esto sendo tomadas para a execuo
dos processos citados acima. Contudo, salienta-se a urgncia e a importncia que
tais aes teriam para a mitigao dos comportamentos inseguros, reduzindo,
assim, vulnerabilidades e riscos ao negcio.
5.6.2 Dados sobre as polticas e normas de Segurana da Informao e
Comunicaes vigentes
O processo de confeco da POSIC levou em considerao tanto a legislao
vigente quanto normas consagradas pelo mercado. Alm disso, sua elaborao
levou em considerao a opinio de representantes de todas as diretorias, alm de
comparaes com outros modelos de POSIC vigentes em outras empresas.
O Programa Corporativo de Conscientizao em SIC est bem estruturado e
o planejamento de sua execuo foi bem detalhado. Porm salienta-se que no
foram levados em considerao na elaborao da POSIC (pelo menos no de forma
oficial), as questes ergonmicas que poderiam levar os usurios a cometerem atos
inseguros. Alm disso, algumas das diretrizes ainda no so amparadas por normas
e no tm procedimentos que os apoiem; isto , ainda no h como exigir que tal
diretriz seja seguida por falta de documento normativo interno ou procedimental.
Ressalta-se que esse fato pode ser fonte de inmeros comportamentos
inseguros por parte dos usurios, pois os mesmos ainda no tm todas as suas
obrigaes e responsabilidades relativas SIC definidas. Fica difcil cobrar por algo
que ainda no foi normatizado.
186
5.6.3 Dados sobre os incidentes de segurana
Existe um proposta de norma para gesto de incidentes em redes
computacionais em estgio final de aprovao por parte do comit de SIC e,
tambm um esboo de processo para gesto de incidentes e problemas em
elaborao. A gesto dos incidentes atuais carece de uma ferramenta que
automatize os trabalhos e processos. A implantao da Equipe de Tratamento de
Incidentes em Redes Computacionais (ETIR) e a observncia das diretrizes e
recomendaes da Instruo Normativa Complementar de n 8, de 24 de agosto de
2010 (IN08, 2010) deve contribuir, e muito, para a diminuio dos comportamentos
inseguros dos tcnicos de suporte. A falta de uma ferramenta que automatize o
processo de gesto de incidentes tambm dificulta a administrao e monitorao
dos acordos de nvel de servio (SLAs).
5.6.4 Dados e observaes sobre o comportamento dos funcionrios
Apesar do setor em anlise ser um dos poucos com os processos
completamente mapeados e 100% atualizados, alguns funcionrios apresentaram
comportamento inseguro. Por exemplo: mais fcil e mais rpido perguntar algo ao
colega ao lado, do que procurar o documento em que conste o que deve realmente
ser feito. Alm disso, a premissa de que s deve ser dado o nvel de privilgios que
o funcionrio realmente precisa verdadeira, pois privilgios demais tambm
ocasionam ou facilitam o comportamento inseguro.
Outro ponto relevante a importncia da utilizao de uma ferramenta
automatizada que escalone automaticamente um incidente que esteja aberto e que
tenha sido esquecido pelos funcionrios, sem ser atendido. Isso facilitaria que os
acordos de nvel de servio fossem atendidos e que no ocorressem quebras
contratuais por no atendimento de nvel de servio.
Deve-se verificar na entrada de novos colaboradores, na equipe do prestador
de servio, se so executados os treinamentos e preenchimento de checklist de
itens que no podem ser esquecidos sobre a empresa, seu modo de operao e
recursos e ferramentas de trabalho.
Um ponto positivo a cobrana de termo de responsabilidade e
confidencialidade assinados, por cada funcionrio que entra na equipe, e seu
arquivamento junto aos demais documentos contratuais. No contrato com o
187
fornecedor de servio tambm buscou-se detalhar os servios que deveriam ser
prestados e as questes relativas SIC.
5.6.5 Anlise
Com essa pesquisa, os seguintes resultados foram alcanados:
Foi obtida uma melhor compreenso sobre os comportamentos
inseguros dos usurios;
Foram apresentadas sugestes de solues para os problemas
identificados; e
Ficou comprovada a hiptese de que a anlise ergonmica do
trabalho um importante instrumento da gesto de SIC.
Pode-se, ento, afirmar que a COMPANHIA X atende aos requisitos de SIC
relacionados anlise ergonmica do trabalho.
Sendo assim, levar em considerao todos os aspectos humanos, vistos pela
tica da anlise ergonmica do trabalho, contribui sobremaneira para a construo
de um sistema de gesto de SIC eficiente e eficaz.
188
Na POSIC tambm so abordados tpicos relacionados privacidade e uso
dos recursos informacionais da empresa. Alm disso, tambm esto sendo
produzidas normas que complementaro a POSIC e abordaram questes
relacionadas propriedade e privacidade com maiores detalhes.
5.7.2 Correlao da natureza da organizao, com a Gesto de SIC
(considerando seu nvel de maturidade), e a forma de tratamento da
dicotomia privacidade e propriedade
A empresa atribui elevada importncia ao assunto e j tomou diversas
medidas, nos ltimos anos, para bem implementar a gesto de SIC. Descrevem-se
abaixo algumas dessas medidas:
Aprovao, por parte da Diretoria Executiva, de uma POSIC;
Instituio
de
um
Comit
de
Segurana
da
Informao
Comunicaes;
Instituio da funo e escolha de um Gestor de Segurana da
Informao e Comunicaes; e
Desenvolvimento e implantao de um Programa Corporativo de
Conscientizao em Segurana da Informao e Comunicaes.
A empresa encontra-se em um nvel de maturidade em gesto de SIC ainda
baixo. Porm, salienta-se que est seguindo um projeto consistente para a
implantao de uma gesto eficaz e eficiente. Sugere-se, sobre essa questo, a
verificao se a velocidade de implantao da gesto de SIC como um todo est
adequada se confrontada com a importncia de seus ativos informacionais.
5.7.3 Casos concretos em que houve a ecloso da dicotomia privacidade x
propriedade e discusso dos elementos que se fazem presentes
(objetivos, estruturais, subjetivos, eventuais)
Aconteceram dois casos em que a dicotomia privacidade versus propriedade
foi observada. Por questes de sigilo eles no sero detalhados na pesquisa. Porm
observou-se que todos eles so sempre tratados sob o ponto de vista tcnico e sob
o ponto de vista jurdico.
Respondendo mais diretamente a questo de pesquisa Que tipo de
tratamento a organizao atribui dicotomia propriedade versus privacidade?
pode-se afirmar que a empresa atribui muita importncia ao assunto, uma vez que
seu insumo bsico de trabalho a informao. Ento tudo o que diz respeito
189
dicotomia propriedade versus privacidade recebe um alto grau de importncia, com
imediato tratamento.
Aes importantes j foram tomadas, tais como as clausulas especificadas
nos contratos de trabalho dos empregados, inerentes direito autoral, propriedade
intelectual, utilizao de recursos e confidencialidade. Alm disso, esses aspectos
tambm foram inseridos na POSIC da organizao.
5.7.4 Anlise
A empresa conta com um excelente apoio da consultoria jurdica, salientandose aqui a importncia de se atualizar e continuamente aperfeioar a equipe no
aspecto direito na sociedade da informao, em que sero tratados diversos
aspectos correlacionando a disciplina do direito tradicional com as novas
caractersticas e ponderaes inerentes cincia da informao e computao.
Com isso, tambm ser aprofundada os conhecimentos necessrios para se lidar
com a dicotomia propriedade versus privacidade.
Sendo
assim,
fica
comprovada
hiptese
que
empresa
trata
190
Necessidade de se definir os nveis de impacto ao negcio caso a
ameaa se concretize sobre o ativo sendo pesquisado;
Necessidade de se definir os nveis de estimativa do risco;
Necessidade de se definir os nveis de avaliao do risco;
Constatao da existncia de possveis ameaas e vulnerabilidades
relacionadas ao ativo sendo pesquisado e a correta classificao do
nvel de prioridade do risco; e
Indicao de planos de ao para tratamento dos riscos.
Para a pesquisa foi escolhido um importante ativo informacional como objeto
da gesto de riscos efetuada. Para a anlise dos dados considerou-se a execuo
das atividades descritas no processo de gesto de riscos, conforme preconizados
pela norma ABNT 27005 (2008).
Dando incio ao processo, na definio do escopo e na definio das demais
consideraes que seriam levadas em conta para a anlise/avaliao dos riscos
foram escolhidas as classificaes estabelecidas na Tabela 5.1, na Tabela 5.2, na
Tabela 5.3 e na Tabela 5.4.
VALOR
1
2
3
4
5
DESCRIO
Muito improvvel de ocorrer (01 a 10%)
Improvvel de ocorrer (11 a 30%)
Ocorre ocasionalmente (31 a 70%)
Provvel de ocorrer (71 a 90%)
Ocorre frequentemente (91 a 100%)
VALOR
1
2
Crtico
Grave
3
4
Gravssimo
DESCRIO
Os danos so insignificantes para a organizao
A organizao consegue reparar os danos com seus prprios
recursos
A recuperao dos danos extrapola os recursos da organizao
Danos que venham a manchar a imagem do rgo ou gerar algum
incidente grave
Destruio irreparvel da imagem do rgo e oferece risco de
morte dos seus servidores
191
Tabela 5.3 - Estimativa do risco.
Muito Baixa
(improvvel)
Impacto
Desprezvel
Baixo
Crtico
Grave
Gravssimo
1
2
3
4
5
Baixa
(Pouco
provvel)
2
3
4
5
6
PROBABILIDADE
Mdia
Alta
(Possvel)
(Provvel)
3
4
5
6
7
Muito Alta
(Frequente)
4
5
6
7
8
5
6
7
8
9
DESCRIO
Legenda
L
M
I
Para cada risco, decorrente da possibilidade de uma ameaa atuar sobre uma
vulnerabilidade do ativo sendo pesquisado, sugerem-se determinados planos de
ao que so, na verdade, controles de segurana que seriam apropriados para
mitigar ou at mesmo eliminar o risco. A implementao desses planos de ao
devem obedecer ordem de prioridade dada pela fase de avaliao do risco e
constantes da coluna prioridade.
Para fins de exemplificao de que a gesto de riscos extremamente
relevante para a gesto de segurana da informao e comunicaes e, para
atender aos propsitos desse trabalho de pesquisa, sero sugeridos apenas os
planos de ao para tratar os seis primeiros riscos apreendidos, denotados na
Tabela 5.5.
Tabela 5.5 - Estabelecimento dos planos de ao para tratamento de riscos.
ID
AMEAA
VULNERABILIDADE
RISCO
PRIORIDADE
AES DE SIC
RESPONSVEL
PRAZO
Fogo
Falta de um
processo de gesto
de continuidade
Falta de
disponibilidade
da Informao
Elaborao e
implementao de um
processo de Gesto de
Continuidade do
Negcio;
Elaborao de norma
para Segurana Fsica
e Ambiente e que
contemple a seo
9.1.4 Proteo contra
ameaas externas e do
meio ambiente (ABNT
27002).
DE/CSIC
1 ano
Poeira
Sensibilidade
poeira, sujeira
Falha do
equipamento
causando falta
de
Elaborao de norma
para Segurana Fsica
e Ambiente e que
contemple a seo
CSIC/DE
4 meses
192
ID
AMEAA
VULNERABILIDADE
RISCO
PRIORIDADE
AES DE SIC
RESPONSVEL
PRAZO
Superintend
ncia A
3 meses
Superintend
ncia A
3 meses
CSIC/DE
6 meses
CSIC
3 meses
9.2.1 Instalao e
proteo do
equipamento (ABNT
27002).
disponibilidade
Falha do
arcondicion
ado
Possibilidade de
superaquecimento
dos equipamentos
Falta de
disponibilidade
da Informao
Interrup
o do
sistema
de
energia
Fornecimento de
energia instvel
Falta de
disponibilidade
da Informao
Furto de
mdia ou
document
os
Armazenamento
no protegido
Falta de
confidencialida
de da
informao
Furto de
mdia ou
document
os
Armazenamento de
cpias no
controladas
Falta de
confidencialida
de da
informao
Trmino de obras e
estabelecimento do
processo para
monitorao
automtica e
manuteno do sistema
de refrigerao. As
necessidades de
controles do sistema de
ar-refrigerado devem
ser includas na norma
para Segurana Fsica
e Ambiente e devem
contemplar os controles
sugeridos pela
respectiva seo da
norma ABNT 27002.
Elaborao de plano de
monitorao e
manuteno da rede
eltrica e fornecimento
de energia estabilizada.
Devem ser includos na
monitorao e
manuteno peridica:
Estabilizadores, Nobreaks, Trafos e
quadros eltricos.
Essas necessidades
devem ser includas na
norma para Segurana
Fsica e Ambiente e
devem contemplar os
controles sugeridos
pela respectiva seo
da norma ABNT 27002
Elaborao de
instrumento normativo
relacionado a Controle
de Acesso e Utilizao
de Recursos
Computacionais que
contemplem, no
mnimo, o estabelecido
na seo 11 Controle
de Acesso (ABNT
17799)
Elaborao de
instrumento normativo
relacionado a
Gerenciamento de
operaes e
comunicaes que
contemplem, no
mnimo, o estabelecido
na seo 10.5 Cpias
de Segurana (ABNT
27002)
5.8.1 Anlise
Pela anlise na Tabela 5.5 fica comprovada a hiptese que o processo de
gesto de riscos imprescindvel para a escolha dos controles de segurana da
informao e comunicaes a serem implantados sobre um ativo informacional, pois
193
todos os planos de ao selecionados para mitigao ou eliminao dos riscos so
requisitos de controles de segurana da informao estipulados pela norma ABNT
27002 (2005) e que acabam por corroborar para gesto de SIC eficiente e eficaz.
194
O usurio obrigado a trocar de senha na primeira vez que acessa os
sistemas;
Os usurios so informados para encerrarem as sesses ativas, caso
precisem se ausentar, mesmo por curtos perodos de tempo; e
Todos os usurios da organizao esto participando do Programa
Corporativo de Conscientizao em Segurana da Informao, que
dentre vrios assuntos, divulga a Poltica de Segurana da Informao
e
Comunicaes
chama
ateno
para
vrias
ameaas
195
pois a aderncia de 62,1%, s recomendaes da norma ABNT 27002 (2005), no
est adequada.
Segue na Figura 5.4, uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Controle de
Acesso, analisando-se os requisitos de controle sugeridos ou recomendados.
CONTROLE DE ACESSO
Requisitos do negcio e poltica (A.11.1.1)
Trabalho remoto (A.11.7.2)
Regras de controle de acesso (A.11.1.1)
140
Computao mvel (A.11.7.1)
Registro de usurio (A.11.2.1)
Sincronizao dos relgios (A. 10.10.6)
120
100
80
60
40
20
0
Restrio de acesso informao
(A.11.6.1)
Autenticao de n (A.11.4.2)
Referncia
Apurado
196
Segue a anlise dos fatos e evidncias. Foram analisados a conformidade da
organizao com os processos dos domnios Aquisio e Implementao e Entrega
e Suporte.
uso
pessoal, infraestrutura
de rede,
storage,
197
A gesto de continuidade no formalizada. So executadas diversas aes
e cuidados no que diz respeito a esse assunto, mas carece de formalizao e
elaborao e testes de planos de recuperao de desastres e continuidade do
negcio.
efetuada a gesto da central de servios, mas a falta de uma ferramenta de
software que automatize a gesto de incidentes, problemas, configurao e gesto
de ativos e mudanas, prejudica a boa execuo dos servios. Porm a rea tem
processos 100% mapeados e s so executadas as aes previstas nos mesmos.
Agora, apesar da empresa no precisar estar em conformidade com a
Instruo Normativa n04 (IN04, 2010), pois ela da administrao indireta,
descrevem-se abaixo os artigos em que a COMPANHIA X estaria em conformidade,
caso isso fosse necessrio:
Conformidade quanto ao artigo 3 (necessidade de elaborao da
estratgia geral de TI e do Plano Diretor de TI):
o Apesar da COMPANHIA X no possuir um PDTI formalizado, ela
apresentou um Plano de Implantao da Infraestrutura de
Tecnologia da Informao que norteou a implantao e
contratao de servios de TI nos
primeiros anos da
organizao;
Conformidade quanto ao artigo 5 (no contratao de mais de uma
soluo de TI em um nico contrato e necessidade de superviso
exclusiva de servidor do rgo quando da contratao de suporte
tcnico para processos de planejamento e avaliao da qualidade das
solues de TI):
o As orientaes desse artigo so observadas;
Conformidade quanto ao artigo 7 (vedao de estabelecimento de
vnculo de subordinao com funcionrios da contratada, de prever
remunerao dos funcionrios da contratada e etc.):
o As orientaes desse artigo so observadas, pois podemos
especificar o servio, mas no podemos cobrar ou especificar
para o fornecedor, o quantitativo de funcionrios que ele ir
utilizar, salrio dos seus funcionrios, efetuar gastos no
previstos na contratao, solicitar servios no especificados no
edital;
198
Conformidade quanto ao artigo 8 (As contrataes de solues de TI
devem seguir as fases de planejamento da contratao, seleo de
fornecedor e gerenciamento do contrato):
o As trs fases contempladas nesse artigo so executadas, porm
os servios geralmente so contratados por meio de prego
eletrnico. As equipes que efetuam cada uma dessas etapas
normalmente so segregadas;
Conformidade quanto aos artigos 9, 10, 11, 12, 13 e 14 (nesses artigos
so detalhados as atividades e procedimentos que so necessrios na
fase de planejamento da contratao):
o As orientaes desses artigos so observadas.
Conformidade quanto aos artigos 15 (aborda a estratgia da
contratao, sua anlise de viabilidade e etc.) e 16 (anlise de risco do
processo de contratao):
o No so observados formalmente;
Conformidade quanto ao artigo 17 (aborda que o termo de referncia
ou projeto bsico deve ser elaborado a partir da anlise de viabilidade
da contratao8, do plano de sustentao9, da estratgia da
contratao10 e da anlise de riscos11):
o De certa forma, as orientaes desse artigo so observadas,
pois existe um processo formal para planejamento, execuo e
fiscalizao da contratao, inclusive com segregao de
funes. A exceo encontra-se na anlise de riscos, pois no
efetuada;
Conformidade quanto aos artigos 19 (disponibilizao do termo de
referncia consulta pblica para avaliao) e 20 (observao da
legislao para seleo do fornecedor):
o As orientaes desses artigos so observadas.
8
199
5.10.3 Anlise
Com os dados e informaes levantadas conseguiu-se responder questo
de pesquisa Os processos de TI ora praticados pela empresa esto em
conformidade com os controles recomendados pelos domnios Aquisio e
Implementao e Entrega e Suporte de Servios de TI do framework COBIT?,
chegando-se concluso que os processos de TI ainda no esto em
conformidade com os controles recomendados, refutando a hiptese proposta.
Sendo assim, estar aderente aos processos preconizados pelos domnios
aquisio e implementao, entrega e suporte de servios de TI, do framework
COBIT, torna-se um importante objetivo a ser atingido e seria de extrema
importncia para a construo de um sistema de gesto de SIC eficiente e eficaz.
200
Dando prosseguimento ao processo, na definio do escopo e na definio
das demais consideraes que seriam levadas em conta para a anlise/avaliao
dos riscos foram escolhidas as classificaes definidas no item 5.8, estabelecidas na
Tabela 5.1, na Tabela 5.2, na Tabela 5.3 e na Tabela 5.4.
Seguem, na Tabela 5.6, as vulnerabilidades detectadas e as ameaas que
poderiam explor-las resultando em riscos para a segurana da informao:
Tabela 5.6 - Avaliao de riscos de SI.
ID
R1
R2
R3
R4
R5
R6
R7
R8
R9
R10
R11
R12
AMEAA
Fogo
Falha do arcondicionado
Interrupo do
sistema de
energia
Furto de
equipamentos
Furto de
equipamentos
Dados de fontes
no confiveis
Defeito de
equipamento
Saturao do
sistema de
informao
Defeito de
software
Uso no
autorizado de
equipamento
Uso no
autorizado de
equipamento
Uso de cpias de
software
falsificadas ou
ilegais
VULNERABILIDADE
Falta de um
processo de gesto
de continuidade
Possibilidade de
superaquecimento
dos equipamentos
Fornecimento de
energia instvel
Insuficincia de
mecanismos de
proteo fsica no
prdio e portas
Insuficincia de um
processo disciplinar
no caso de
incidentes
relacionados
segurana da
informao
Inexistncia de um
processo formal
para autorizao
das informaes
disponveis
publicamente
Inexistncia de um
plano de
continuidade
Gerenciamento de
rede inadequado ou
no finalizado
Inexistncia de um
controle eficaz de
mudana
Inexistncia de
relatrios de
gerenciamento
Inexistncia de
polticas para o uso
correto de troca de
mensagens
Insuficincia de
procedimentos para
garantir a
conformidade com
os direitos de
propriedade
intelectual
RISCO
Falta de
disponibilidade
da Informao
Falta de
disponibilidade
da Informao
Falta de
disponibilidade
da Informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade
e autenticidade
da informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade
e autenticidade
da informao
Pode afetar a
integridade e
autenticidade da
informao
Pode afetar a
disponibilidade
da informao
Pode afetar a
disponibilidade
da informao
Pode afetar a
disponibilidade
Pode afetar a
disponibilidade,
integridade,
confidencialidade
e autenticidade
da informao
Pode afetar a
confidencialidade
da informao
PROBABILIDADE
IMPACTO
NVEL DE RISCO
PRIORIDADE
Pode afetar a
DICA
201
ID
R13
R14
R15
R16
R17
R18
R219
R20
R21
R22
R23
R24
AMEAA
VULNERABILIDADE
Comprometimento
dos dados
Utilizar programas
aplicativos com
conjunto errado de
dados (referentes a
um outro perodo)
Erro durante o uso Documentao
insuficiente
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Indisponibilidade
de recursos
humanos
No execuo de
logout/bloqueio ao
se deixar uma
estao de trabalho
desassistida
Insuficincia de
trilhas de auditoria
Atribuio errnea
de direitos de
acesso
Insuficincia do
procedimento formal
para o registro e a
remoo de
usurios
Inexistncia de
processo formal
para anlise crtica
de direitos de
acesso (superviso)
Inexistncia de
procedimento de
monitoramento das
instalaes de
processamento de
informaes
Ausncia de
recursos humanos
RISCO
Pode afetar a
integridade da
informao
Armazenamento
inapropriado.
Pode afetar a
disponibilidade
da informao e
falta de
conformidade
legal
Pode afetar a
DICA
Quebra de
segurana sem
possibilidade de
auditoria
Armazenamento
inapropriado.
Pode afetar a
disponibilidade e
a
confidencialidade
da informao e
falta de
conformidade
legal
Pode afetar a
DICA
Quebra de
segurana sem
possibilidade de
auditoria
Pode afetar a
disponibilidade,
integridade e
confidencialidade
da informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade
da informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade
da informao
Pode afetar a
DICA
Pode afetar a
disponibilidade
da informao
PROBABILIDADE
IMPACTO
NVEL DE RISCO
PRIORIDADE
Legenda:
Probabilidade: probabilidade de que uma ameaa atue sobre uma vulnerabilidade. Pode assumir os valores 1 (muito baixa); 2
(baixa); 3 (mdia); 4 (alta) e 5 (muito alta).
Impacto: mudana adversa no nvel obtido dos objetivos de negcio. Pode assumir os valores 1 (desprezvel); 2 (baixo); 3
(crtico); 4 (grave) e 5 (gravssimo).
Nvel de risco: Estimativa do risco considerando a probabilidade de que uma ameaa atue em uma vulnerabilidade e seu
impacto na organizao.
Prioridade: prioridade para tratamento do risco levando em considerao os nveis de risco. Pode assumir os seguintes
202
ID
AMEAA
VULNERABILIDADE
RISCO
PROBABILIDADE
IMPACTO
NVEL DE RISCO
PRIORIDADE
valores:
Para nveis de risco de 1 a 3: L (implementao de aes a longo prazo);
Para nveis de risco de 4 a 6: M (implementao de aes a mdio prazo); e
Para nveis de risco de 7 a 9: I (implementao de aes a curto prazo).
NVEL DE
RISCO
4
R2
R3
R4
R5
R6
4
3
M
L
R7
R8
R9
R10
2
4
L
M
R11
R12
R13
R14
ID
203
ID
NVEL DE
RISCO
R15
R16
R17
4
5
M
M
R18
R19
R20
R21
R22
R23
R24
Legenda:
Nvel de risco: Estimativa do risco considerando a probabilidade de que uma ameaa atue em uma vulnerabilidade e seu
impacto na organizao.
Prioridade: prioridade para tratamento do risco levando em considerao os nveis de risco. Pode assumir os seguintes
valores:
Para nveis de risco de 1 a 3: L (implementao de aes a longo prazo);
Para nveis de risco de 4 a 6: M (implementao de aes a mdio prazo); e
Para nveis de risco de 7 a 9: I (implementao de aes a curto prazo).
5.11.2 Anlise
A hiptese A implementao de controles para prevenir a indisponibilidade
de sistemas e reduzir as vulnerabilidades do ambiente faz com que o prestgio do
gestor de SIC da organizao aumente e, tambm, se consiga uma gesto de SIC
mais eficiente e eficaz. fica comprovada, pois as inmeras tentativas de
estabelecer controles que minimizem vulnerabilidades e garantam as propriedades
bsicas de segurana da informao so muito valorizadas e cobradas pelos
usurios dos sistemas.
A anlise de riscos simplificada foi uma excelente ferramenta que ajudou a
denotar alguns dos controles hoje em voga na empresa e os que ainda so
necessrios. Todos esses cuidados ajudam a viabilizar um bom nvel de
disponibilidade dos sistemas o que acaba por aumentar o prestgio do gestor.
Sendo assim, fica claro que utilizar a modelagem, simulao e dinmica de
sistemas contribui sobremaneira para a construo de um sistema de gesto de SIC
eficiente e eficaz.
204
205
cumprir as determinaes da legislao. Contudo esse valor ainda est muito abaixo
do que poderia ser considerado adequado.
5.12.4 Pontos positivos que mais se destacaram na pesquisa
Seguem abaixo os pontos positivos levantados:
Existe a possibilidade de estabelecimento de contato com tcnicos de
suporte de 3 nvel (com mais especialidades) para o acompanhamento
e soluo de dificuldades tcnicas ou soluo de problemas nos
sistemas;
Os programas que esto em execuo sofrem um controle especfico
de modificaes; isto , s so disponibilizados para produo as
verses de programas devidamente testados e homologados;
Atividades
ou
funes
que
facilitariam
cumplicidade
para
estabelecidos
controles
especiais
para
salvaguarda
da
206
So utilizados controles especiais para viabilizar a disponibilidade dos
servios de rede e dos computadores conectados;
O contedo de qualquer meio magntico, quando no mais necessrio
organizao apagado;
A documentao dos sistemas guardada de forma segura;
Toma-se
cuidado
para
no
divulgao
externa
de
listas
de
funcionrios;
H uma preocupao quanto necessidade de reteno de
mensagens, seja para trabalho, ou para serem utilizadas como provas
em casos de litgio;
Ocorre a restrio de acesso s informaes de trabalho relacionadas
com indivduos especficos ou grupos de trabalho; e
Ocorre um processo de autorizao formal antes da publicao de uma
informao.
5.12.5 Pontos negativos que mais se destacaram na pesquisa
Seguem os pontos negativos que mais se destacaram:
No existe um processo formalizado para classificao da informao.
Logo,
no
existem
instrues
detalhadas
para
execuo,
significativas.
avaliao
de
impacto
de
tais
modificaes no formal;
As aplicaes crticas e sensveis no so formalmente identificadas;
No foram criadas ou disponibilizadas normas de segurana que
apoiem a Poltica de Segurana da informao e Comunicaes da
empresa;
No existe plano de continuidade de negcios e plano de recuperao
de desastres, s o procedimento de backup;
A
gesto
de
capacidade
no
formalizada,
ocorrendo
207
No considerado o impacto de novos sistemas na segurana da
informao e comunicaes como um todo;
No h um processo de gesto de riscos institudo na organizao;
Os backups no so testados regularmente e no h um plano de
testes estabelecido;
O descarte de itens sensveis no registrado;
No so estabelecidas responsabilidades para o caso de perda de
dados; e
Ainda no h um processo formalizado para troca de mensagens
utilizando-se de criptografia e assinatura digital.
5.12.6 Anlise
Com os dados e informaes levantadas conseguiu-se responder questo
de pesquisa desse estudo de caso, chegando-se concluso que os requisitos de
controle de segurana da informao e comunicaes da COMPANHIA X ainda no
esto adequadamente em conformidade com o preconizado e sugerido pela
seo Gerenciamento das Operaes e Comunicaes, da norma ABNT 27005
(2005). Refutando a hiptese proposta nesse estudo. Ainda h muito o que ser feito
para que a taxa de aderncia final atinja, pelo menos 80%.
Segue na Figura 5.5 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Gerenciamento
das Operaes e Comunicaes, analisando-se os requisitos de controle sugeridos
ou recomendados.
208
100
80
60
RISCOS DE SEGURANA
40
SEGURANA DO COMRCIO ELETRNICO
(A.10.9.1)
PLANEJAMENTO DE CAPACIDADE
(A.10.3.1)
20
0
REGISTROS DE OPERAO
REFERNCIA
APURADO
209
A empresa precisa utilizar criptografia simtrica para troca de informaes
entre colaboradores da prpria organizao, e assimtrica, quando for
necessria a troca de informaes, classificadas com algum nvel de sigilo,
com clientes externos empresa;
As seguintes propriedades relacionadas SIC precisam ser observadas
quando do trato com informaes classificadas com algum nvel de sigilo:
Confidencialidade, Autenticidade e Integridade;
Ainda no h um processo formal de classificao da informao estabelecido
na empresa; e
Ainda no foi criada uma poltica de uso de recursos criptogrficos na
empresa. Porm j teve incio a sua utilizao.
5.13.2 Sobre a utilizao de recursos tecnolgicos criptogrficos
A empresa j adquiriu alguns certificados para alguns funcionrios da
empresa, pois suas funes e cargos exigiam tais recursos. Tambm foram
adquiridos certificados para os stios Web.
5.13.3 Sobre Stios Web e outros sistemas de informao
A empresa usa o protocolo HTTPS para conferir sigilo s comunicaes com
os usurios; e
Os
certificados
digitais
da
empresa
ainda
no
so
gerenciados
adequadamente.
5.13.4 Sobre Ataques a Sistemas Criptogrficos
So utilizadas ferramentas computacionais centralizadas para tratamento e
preveno de malware;
Foi dado incio estruturao e formalizao de uma Equipe de Tratamento e
Resposta Incidentes em Redes Computacionais (ETIR) que ter, dentre
suas atribuies, a de tratar incidentes relacionados perda de sigilo; e
No foi executada nenhuma anlise de risco para se determinar que
ferramenta ou recurso criptogrfico se utilizar.
210
5.13.5 Sobre a implementao de controles recomendados pela norma ABNT
27002 (2005), no que diz respeito utilizao de recursos criptogrficos
Para ajudar na verificao da hiptese se a utilizao de recursos
criptogrficos est adequada e suficiente para viabilizar e assegurar a SIC na
COMPANHIA X, foi realizada uma anlise de aderncia e conformidade com a
norma ABNT 27002 (2005) quanto seo Aquisio, desenvolvimento e
manuteno de sistemas de informao, subitem 12.3 Controles criptogrficos,
analisando-se os requisitos de controle sugeridos ou recomendados. Estes
requisitos deram margem criao das questes que foram analisadas.
5.13.6 Anlise
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturada a utilizao de recursos de criptografia na organizao e se
estavam aderentes aos requisitos de segurana da informao e comunicaes. O
ndice de aderncia final alcanado foi de 14,1% o que denota que a utilizao de
recursos criptogrficos ainda insipiente e que muito ainda h que ser feito
nessa rea, o que acaba por refutar a hiptese A utilizao de recursos
criptogrficos est adequada e suficiente para viabilizar e assegurar a SIC na
COMPANHIA X.
Segue na Figura 5.6 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Controles
Criptogrficos, analisando-se os requisitos de controle sugeridos ou recomendados.
211
CRIPTOGRAFIA
Poltica para o uso de
controles de
criptografia
(A.12.3.1)
90
80
70
60
50
40
30
20
10
0
Gerenciamento de
chaves - Normas,
procedimentos e
mtodos (A.12.3.2)
Gerenciamento de
chaves - Proteo de
chaves criptogrficas
(A.12.3.2)
Criptografia
(A.12.3.1)
REFERNCIA
APURADO
Assinatura digital
(A.12.3.1)
da
informao
comunicaes,
relacionados
aquisio,
212
sugeridos ou recomendados. Estes requisitos deram margem criao das
questes que foram analisadas.
5.14.2 Pontos positivos
Seguem os pontos positivos que mais se destacaram na pesquisa:
Na especificao dos requisitos do negcio para os novos sistemas,
so especificados os controles de segurana necessrios;
So aplicadas validaes de dados de entrada;
So estabelecidos procedimentos de resposta validao de erros;
So definidas as responsabilidades de todo o pessoal envolvido no
processo de entrada de dados;
Os dados de sada dos sistemas so validados e sua plausibilidade
verificada;
Os programas que esto em execuo sofrem um controle especfico
de modificaes;
Atividades
ou
funes
que
facilitariam
cumplicidade
para
normal
assim
como
as
responsabilidades
dos
estabelecidos
controles
especiais
para
salvaguarda
da
empresa
comunicaes
usa
com
protocolo
os
HTTPS para
usurios
destes
conferir
com
os
sigilo
sistemas
213
evitada a manipulao da biblioteca de programas-fonte em
ambiente de produo.
5.14.3 Aspectos negativos:
Seguem os aspectos negativos que mais se destacaram na pesquisa:
A identificao e registro de modificaes significativas no ocorrem de
forma adequada. A avaliao de impacto de tais modificaes no
formal;
As aplicaes crticas e sensveis no so formalmente identificadas;
No foram criadas ou disponibilizadas normas de segurana que
apoiem a Poltica de Segurana da informao e Comunicaes da
empresa no que diz respeito a desenvolvimento de sistemas;
Ainda no h um processo formal de classificao da informao
estabelecido na empresa. Dessa forma as informaes utilizadas pelos
sistemas ou so confidenciais, ou ostensivas.
No considerado o impacto de novos sistemas na segurana da
informao e comunicaes como um todo;
No h um processo de gesto de riscos institudo na organizao de
forma que pudesse ser levado em conta na especificao dos controles
de segurana dos novos sistemas; e
Ainda no foi criada uma poltica de uso de recursos criptogrficos na
empresa. Porm sua utilizao j teve incio.
OBS: importante salientar que alguns estudos de caso j citados, tambm
serviram de base para essa pesquisa, tais como o tpico relacionado ao
gerenciamento de operaes e comunicaes e ao tpico de criptografia e
infraestrutura de chaves pblicas.
5.14.4 Anlise
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de Aquisio, desenvolvimento e manuteno de
sistemas de informao na COMPANHIA X, e se o mesmo estava aderente aos
requisitos de controle de segurana da informao e comunicaes. O ndice de
aderncia final alcanado foi de 32,4%. Contudo esse valor ainda est muito abaixo
do que poderia ser considerado adequado. Dessa forma, fica refutada a hiptese
214
Os requisitos de controle de segurana da informao e comunicaes,
relacionados aquisio, desenvolvimento e manuteno de sistemas de
informao esto adequados para a COMPANHIA X, proposta nesse estudo de
caso.
Segue na Figura 5.7 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Aquisio,
desenvolvimento e manuteno de sistemas de informao, analisando-se os
requisitos de controle sugeridos ou recomendados.
120
100
80
Anlise crtica das mudanas tcnicas
do sistema operacional da produo
(A.12.5.2)
60
Autenticao de mensagem (A.12.2.3)
40
20
Procedimentos de controle de
mudanas (A.12.5.1)
0
Validao dos dados de sada (A.12.2.4)
Criptografia (A.12.3.1)
Assinatura digital (A.12.3.1)
Gerenciamento de chaves - Proteo
de chaves criptogrficas (A.12.3.2)
Referncia
Apurado
215
segurana da informao esto adequados para a COMPANHIA X, foi realizada
uma anlise de aderncia e conformidade com a norma ABNT 27002 (2005)
especialmente quanto seo 13 - Gesto de incidentes de segurana da
informao, analisando-se os requisitos de controle sugeridos ou recomendados.
Estes requisitos deram margem criao das questes que foram analisadas.
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de Gesto de incidentes de segurana da informao
na COMPANHIA X, e se o mesmo estava aderente aos requisitos de controle de
segurana da informao e comunicaes. O ndice de aderncia final alcanado foi
de 33,0%. Contudo esse valor ainda est muito abaixo do que poderia ser
considerado adequado.
5.15.1 Sobre a implementao de controles relacionados gesto de
incidentes de segurana da informao
Seguem abaixo os pontos positivos que mais se destacaram na pesquisa:
So tomadas medidas visando minimizar prejuzos causados por
incidentes de segurana;
Incidentes que afetam a segurana da informao so comunicados o
quanto antes. Todos os empregados e terceirizados so informados
sobre o procedimento de comunicao;
Os incidentes de segurana so investigados para apurao de causa
e tomada de ao corretiva;
Os incidentes so utilizados no treinamento de conscientizao dos
usurios, sobre o que poderia acontecer, como reagir a tais incidentes
e como evit-los no futuro;
S pessoal devidamente autorizado est liberado para ter acesso
dados e sistemas em produo;
Est em elaborao uma norma para Gesto de Incidentes de
Segurana da Informao e Comunicaes;
Est sendo planejada a instituio de uma Equipe de Tratamento e
Resposta
Incidentes
em Redes
Computacionais (ETIR).
216
Foi criado e institudo um Programa Corporativo de Conscientizao
em Segurana da Informao e Comunicaes que tem por objetivo
tratar de forma continuada a conscientizao e sensibilidade de todos
os empregados da COMPANHIA X no que diz respeito ao assunto SIC,
utilizando-se de palestras, cartazes, emails, e etc.
5.15.2 Pontos negativos que mais se destacaram na pesquisa:
Seguem os pontos negativos que mais se destacaram:
No so recolhidas provas e evidncias de imediato, ou da maneira
que seria mais adequada, aps a ocorrncia de alguns incidentes de
segurana;
No h um processo formal, que siga as recomendaes das melhores
prticas de Gerenciamento de servios e governana de TI
(ITIL/COBIT) institudo;
No so implementados mecanismos que permitam a quantificao,
monitorao dos tipos, volumes e custos de incidentes de segurana;
No h identificao de incidentes recorrentes;
Ainda no foram estabelecidos procedimentos que cubram alguns
potenciais incidentes de segurana;
No existem procedimentos estabelecidos para coleta de evidncias. O
conhecimento para isso ad hoc;e
No h plano de continuidade de negcios implementado.
5.15.3 Demais consideraes e resultados sobre a pesquisa:
Na poca que o levantamento de dados foi realizado havia previso da
aprovao da norma para Gesto de incidentes com formalizao da Equipe de
Tratamento de Incidentes em Redes Computacionais;
A organizao escolheu formalizar o processo de compra de ferramenta de
software que permitir instituir e automatizar o processo de gesto de incidentes,
gesto de problemas, gesto de configurao e gesto de mudanas, de acordo
com as melhores prticas preconizadas pelo ITIL.
5.15.4 Anlise
A organizao necessita de uma ETIR, no s para estar adequada ao que
preconizado pela legislao (Instruo normativa n 01 de 13 de junho de 2008
217
IN01/DSIC/GSIPR),
tratar
adequadamente
aos sempre
40
20
0
Comunicao de
incidentes de
segurana
(A.13.1.1)
Referncia
Aprendendo com
os incidentes
(A.13.2.2)
Comunicao de
pontos fracos de
segurana
(A.13.1.2)
Apurado
218
trabalhista
quanto
legislao
relacionada
ao
219
H a percepo, por parte do secretario executivo do comit de SIC de
que a auditoria de segurana deveria perpassar por todas as funes
da organizao;
Tanto os empregados, quanto os clientes da organizao se
preocupam com a questo de segurana da informao;
A auditoria de segurana perpassa por todas as reas preconizadas
pela norma ABNT 27002 (2005). Atualmente so analisados mais de
600 requisitos de segurana;
A organizao detm um Programa Corporativo de conscientizao em
SIC em funcionamento, em que algumas aes j se encontram
aprovadas no nvel de direo, com a participao obrigatria de todos
os colaboradores e empregados;
Os resultados das auditorias internas em SIC so entregues ao Gestor
de SIC e servem de insumo de trabalho para o secretario executivo do
comit de SIC; e
A
organizao
tem Poltica
de
Segurana
da
Informao
organizao.
Sendo
assim,
auditagem de
desempenho
220
No h como garantir que todos os procedimentos de segurana so
executados dentro das diversas reas da empresa;
Ainda
no
foram
estabelecidos
processos
para
gesto
operacionalizao da SIC;
Os resultados da auditoria de segurana ainda no so oficialmente
divulgados pela organizao;
A organizao no tem planejamento estratgico o que inviabiliza a
construo de Plano Diretor de Segurana da Informao e
Comunicaes de forma que seja mais aderente ao negcio; e
Ainda no foram definidos parmetros de monitoramento para o
processo de gesto de SIC.
5.16.4 Anlise
A hiptese Os requisitos de controle de segurana da informao e
comunicaes, relacionados conformidade e auditoria interna esto adequados
para a COMPANHIA X. fica parcialmente comprovada, pois um ndice de
conformidade com os requisitos de segurana da informao preconizados pela
norma NBR 27002 (2005), relacionados auditoria de segurana da informao,
46,9% no se caracteriza ainda como um resultado final de amadurecimento da rea
221
de gesto de SIC. Entretanto, tambm denota que muitas aes j foram tomadas e
que, pelo menos, metade do caminho j foi percorrida na busca de uma boa gesto
de SIC.
Segue na Figura 5.9 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Conformidade,
analisando-se os requisitos de controle sugeridos ou recomendados.
CONFORMIDADE
Conformidade com
exigncias legais
(A.15.1)
200
150
100
Conformidade com
a poltica de
segurana
(A.15.2.1)
50
0
Identificao da
legislao aplicvel
(A.15.1.1)
Referncia
Preservao dos
registros da
organizao
(A.15.1.3)
Apurado
222
conformidade com a norma ABNT 27002 (2005), em especial quanto seo 14 Gesto da Continuidade do Negcio, analisando-se os requisitos de controle
sugeridos ou recomendados. Estes requisitos deram margem criao das
questes que foram analisadas.
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de continuidade do negcio na COMPANHIA X, e se o
mesmo estava aderente aos requisitos de controle de segurana da informao e
comunicaes. O ndice de aderncia final alcanado foi de 0 (zero por cento)%.
5.17.2 Pontos positivos:
Seguem os pontos positivos levantados:
A pesquisa permitiu o conhecimento de conceitos e requisitos
relacionados continuidade de negcios preconizados pelas melhores
prticas do mercado: norma ABNT 27002 (2005), norma ABNT 27001
(2006) e norma ABNT 15999 (2007) e das diretrizes e recomendaes
da instruo normativa complementar 06 (IN06, 2009);
A empresa j criou, aprovou e amplamente divulgou sua Poltica de
Segurana da Informao e Comunicaes;
Vrias normas de segurana que serviro como apoio para a Poltica
de Segurana da Informao esto em desenvolvimento;
A empresa j tem um Programa de Conscientizao em Segurana da
Informao e Comunicaes em funcionamento, em que todos os
colaboradores e empregados novos tm que participar para serem
apresentados Poltica de Segurana e a outros conceitos de
segurana;
A rede de computadores e seus diversos componentes so
administrados seguindo-se uma rotina definida, e com diversos
procedimentos documentados;
Os usurios no tm autorizao e no conseguem instalar software
em seus prprios computadores. S so instalados programas que
estejam presentes na biblioteca de software homologados e com o
devido nvel de autorizao;
O software antivrus tem controle e gesto centralizada, atingindo
ambiente Web, email, sistema de arquivos e banco de dados o que
223
mitiga o risco de contaminao em escala por algum vrus. Essa ao
diminui a probabilidade de ter que se acionar planos de continuidade
devido a esses tipos de ameaas;
O backup feito regularmente e fica um conjunto de fitas armazenado
mensalmente fora das instalaes da empresa;
utilizada virtualizao de servidores visando otimizao de recursos,
e continuidade no fornecimento de servios; e
O prprio usurio tem recursos sua disposio para restaurar
arquivos perdido ou alterados em alguns dos drives de rede. A
possibilidade de recuperao de aproximadamente 1 ms.
5.17.3 Pontos negativos:
Seguem os pontos negativos levantados:
No h um processo de gesto de continuidade de negcios institudo;
No h plano de continuidade formalizado;
Os colaboradores, como um todo, no compreendem toda a
abrangncia e importncia da gesto de continuidade de negcios;
No h formalizao do conhecimento dos ativos de informao mais
crticos para a organizao;
No h cultura de gesto de continuidade de negcios disseminada e
implantada;
A maioria dos processos de negcio no so mapeados ou
documentados;
No h um processo de gesto de riscos implantado na organizao;
Ainda no foi realizado nenhuma Anlise de Impacto ao Negcio na
organizao; e
As aes para a implantao de um processo formal de gesto de
continuidade de negcios ainda no tiveram incio.
5.17.4 Anlise
Os resultados apresentados denotam a urgncia da elaborao, com
posterior execuo, de planos de ao voltados a melhorarem os valores de
aderncia, dos requisitos de segurana preconizados pela norma ABNT 27002
(2005), aos colocados em prtica na COMPANHIA X. Dessa forma, a hiptese
224
proposta fica refutada, pois um ndice de conformidade com os requisitos de
segurana da informao relacionados continuidade de negcios, de 0% (zero por
cento) indica que muito ainda h que ser feito nesse sentido e que aes urgentes
deveriam ser tomadas.
Segue na Figura 5.10 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Gesto da
Continuidade do Negcio, analisando-se os requisitos de controle sugeridos ou
recomendados.
Manuteno e
reavaliao do
planos (A.14.1.5)
Gesto da
continuidade do
negcio (A.14.1.1)
120
100
80
60
40
20
0
Continuidade do
negcio e anlise
de impacto
Document. e
implement. de
planos de
Referncia
Apurado
Estruturao do
plano de
continuidade do
225
5.18.1 Hiptese sobre a utilizao do material terico e questes de suporte
dos protocolos de estudo de caso das disciplinas do curso CEGSIC
2009/2011
A hiptese A utilizao do material terico e protocolos de estudo de caso
das disciplinas do curso de especializao em Gesto de Segurana da Informao
e Comunicaes (CEGSIC 2009/2011) corroboram com o referencial normativo e
com a legislao concernentes SIC, para o estabelecimento de uma anlise de
conformidade em SIC mais abrangente e eficaz ficou comprovada, pois as
questes de suporte sugeridas e apresentadas, nos diversos protocolos de pesquisa
de cada disciplina do curso de ps-graduao em Gesto de SIC (CEGSIC
2009/2011), forneceram um excelente material para conduo e complementao da
pesquisa exploratria efetuada, ajudando na execuo da anlise de conformidade
e, dessa forma, a alcanar um dos objetivos desse trabalho.
5.18.2 Hipteses sobre os requisitos de controle de SIC
A hiptese Os requisitos de controle de segurana da informao e
comunicaes, ora vigentes na COMPANHIA X so adequados e suficientes para
atender aos requisitos do negcio, e esto em conformidade com as normas e
legislao inerentes ao assunto foi refutada pela constatao dos resultados
dos diversos estudos de caso.
Para uma melhor visualizao dos resultados segue, na Figura 5.11, um
quadro resumo da anlise de conformidade realizada nesse trabalho de pesquisa,
denotando-se os valores de referncia por rea ou domnio de segurana, e os
valores apurados na COMPANHIA X.
226
DOMNIO DE SEGURANA
PSIC
2500
Conformidade
Org. a SI
2000
1500
Gesto da continuidade
do negcio
Gesto de ativos
1000
500
Referncia
Gesto de incidentes de
SI
Apurado
Seg. em RH
Aquis., desenv. e
manut. de sist. de
informao
Seg. fsica e do
ambiente
Controle de acesso
80
60
40
Org. a SI
Gesto de ativos
20
Gesto de
incidentes de SI
Aquis., desenv. e
manut. de sist.
Controle de
acesso
0
Seg. em RH
Seg. fsica e do
ambiente
Aderncia em 2008
Aderncia em 2011-2011
227
6.1 Concluses
Para comprovar ou refutar as hipteses, de que a utilizao do material
terico e questes de suporte dos protocolos de estudo de caso das disciplinas do
curso CEGSIC 2009/2011 corroboram o referencial normativo e a legislao
concernentes SIC, para o estabelecimento de uma anlise de conformidade em
SIC mais abrangente e eficaz, e, tambm, que os requisitos de controle de SIC
vigentes na COMPANHIA X so adequados e suficientes para atender aos requisitos
do negcio, e esto em conformidade com as normas e legislao inerentes ao
assunto, levantaram-se dados em diversos estudos de caso, que se basearam em
auditorias de Segurana da Informao e Comunicaes, tendo como referncia a
norma ABNT 27002 (2005), alm de diversas questes de suporte tecidas em cada
uma das disciplinas do curso CEGSIC, em questo.
A pesquisa ressaltou a importncia de considerar as 11 reas principais da
supracitada norma, em uma auditoria de SIC, e tambm demonstrou a relevncia de
se utilizar as demais disciplinas do curso de Gesto em SIC, promovido pelo GSIC
na UnB. Descrevem-se abaixo, em relao a cada rea pesquisada, o resultado de
comprovao ou refutao das hipteses, e uma sntese das principais
recomendaes que podem ser inferidas por meio da anlise dos dados realizada no
captulo 5.
Quanto aos sistemas de informao e Comunicao foi demonstrado que o
conjunto de requisitos de SIC estabelecido para um importante sistema de misso
crtica da organizao no estava adequado aos requisitos do negcio refutando a
hiptese inicialmente proposta.
Em relao a este item, recomendam-se as seguintes aes: determinar
quais so os principais sistemas de misso crtica da organizao e analisar se seus
controles de segurana so adequados para atender aos requisitos do negcio;
228
Elaborar e implementar processo formal para classificao de informao; mapear
todos os processos de trabalho da organizao; e elaborar processo de gesto de
riscos de SIC.
Quanto a infraestrutura de tecnologia da informao, comprovou-se
parcialmente a hiptese de que a infraestrutura de tecnologia da informao atende
aos requisitos de SIC do negcio.
Em relao a este item, recomendam-se as seguintes aes: executar a
gesto dos riscos dos principais ativos da infraestrutura de Tecnologia da
Informao; adotar a biblioteca de melhores prticas de gesto de servios de TI
(ITIL, 2000) focando principalmente nos processos da rea de suporte (gesto de
configurao, gesto de incidentes, gesto de problemas, gesto de mudanas e
gesto de liberao), pois tm maior influncia sobre os ativos da informao.
Quanto poltica e cultura de segurana ficou comprovada a hiptese de que
a Poltica de SIC (POSIC) da COMPANHIA X adequada aos requisitos de
segurana do negcio.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
aprovar e implementar normas de SIC que apoiem o cumprimento da POSIC.
Quanto organizaes e sistemas de informao comprovou-se a hiptese
sobre a boa organizao do sistema de gesto de SIC, e que o mesmo atende aos
requisitos de segurana do negcio.
Em relao a este item, recomendam-se as seguintes aes: melhorar a
interao com outras instituies para troca de informaes referentes SIC;
implantar sistema de CFTV para monitoramento dos permetros mais crticos; iniciar
e implementar processo de gesto de riscos para se determinar quais os controles
de SIC so realmente necessrios.
Quanto aos Controles de Segurana Fsica e Ambiental foi demonstrado que
a hiptese de que os requisitos de SIC relacionados segurana fsica e ambiente
esto adequados para a COMPANHIA X, ficou comprovada.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
implementar e testar planos de continuidade de negcios e planos de recuperao
de desastres; realizar anlise e gesto de riscos para determinar permetros de
segurana que precisam de mais ateno; e rever com menor periodicidade os
direitos de acesso fsico.
229
Quanto ao Protocolo de Comunicao Humano-Mquina foi demonstrada a
comprovao da hiptese de que a anlise ergonmica do trabalho um importante
instrumento da gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: definir,
normatizar e cobrar obrigaes e responsabilidades dos usurios quanto ao assunto
SIC; elaborar e implementar processo de gesto de incidentes, apoiado pela criao
de uma equipe de tratamento de incidentes em redes computacionais de forma a se
pesquisar fatores e motivos que podem levar aos usurios a terem comportamentos
inseguros; elaborar e implementar metodologia de gerenciamento de projetos de
forma a reduzir comportamentos inseguros na execuo dos projetos; criar e
implementar escritrio de processos, com a incumbncia de mapear e normatizar
todos os processos da organizao.
Quanto ao Direito na Sociedade da Informao foi demonstrada a importncia
desse tema para a gesto de SIC e, tambm foi comprovada a hiptese de que a
empresa trata satisfatoriamente a dicotomia privacidade e propriedade. Em relao a
este item, recomendam-se as seguintes aes: instituir processo contnuo de
formao de pessoal na rea de Direito na Sociedade da Informao.
Quanto ao Gerenciamento de Riscos de Segurana da Informao foi
demonstrada a comprovao da hiptese de que o processo de gesto de riscos
imprescindvel para a escolha dos controles de SIC a serem aplicados em um ativo
informacional, assim como foi denotada sua importncia para a gesto de SIC.
Em relao a este item, recomendam-se as seguinte aes: elaborar, aprovar
e implementar norma de gesto de riscos de SI; elaborar e implementar metodologia
de gesto de riscos de SI; treinar todo o corpo tcnico e administrativo na
metodologia de gesto de riscos.
Quanto ao Controle de acesso foi demonstrado a comprovao parcial da
hiptese de que os controles de SIC relacionados controle de acesso esto
adequados para a COMPANHIA X.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
aprovar e implementar norma de controle de acesso; utilizar amplamente a
tecnologia de certificado e assinatura digital; utilizar uma poltica de tela limpa e
mesa limpa e fornecer recursos para apoi-las.
Quanto Aquisio e Implementao, Entrega e Suporte de Servios de TI foi
demonstrada a refutao da hiptese de que os controles praticados e em uso pela
230
TI esto em conformidade com os controles recomendados pelos domnios
Aquisio e Implementao e Entrega e Servios de TI do COBIT (2007). Contudo
ficou denotada a importncia desses domnios para a gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: implementar o
planejamento estratgico institucional para que, em seguida, se possa implementar
o planejamento estratgico de TI, o Plano Diretor de TI e o Plano Diretor de SIC;
implementar os processos de gesto de nvel de servio, gesto de capacidade,
gesto de continuidade e demais processos citados nos domnios de aquisio e
implementao, entrega e suporte de servios de TI do COBIT (2007).
Quanto Modelagem, Simulao e Dinmica de Sistemas foi demonstrada a
comprovao da hiptese de que a implementao de controles para prevenir a
indisponibilidade de sistemas, acaba por reduzir as vulnerabilidades do ambiente, e
em consequncia aumenta o prestgio do gestor. Dessa forma ficou denotada a
importncia da modelagem, e simulao de sistemas para a gesto de SIC.
Em relao a este item, recomenda-se a seguinte ao: utilizar um processo
de gesto de riscos simplificado para uma abordagem inicial para a modelagem de
sistemas.
Quanto ao Gerenciamento das Operaes e Comunicaes foi demonstrada
a refutao da hiptese de que os requisitos de SIC da COMPANHIA X esto em
conformidade
com
os
controles
recomendados
sugeridos
pela
seo
231
utilizar assinatura digital; elaborar e implementar normas relacionadas utilizao de
recursos de criptografia.
Quanto Segurana no Desenvolvimento de Aplicaes foi demonstrada a
refutao da hiptese de que os requisitos de controles de SIC, relacionados
aquisio, desenvolvimento e manuteno de sistemas de informao esto
adequados para a COMPANHIA X.
Em relao a este item, recomendam-se as seguintes aes: elaborar e
implementar processo de gesto de mudanas; elaborar, aprovar e implementar
norma e metodologia de desenvolvimento de sistemas; utilizar processo formal de
classificao da informao; utilizar processo de gesto de riscos de SI para analisar
controles de SIC necessrios e suficientes.
Quanto ao Tratamento de Incidentes de Segurana foi demonstrada a
refutao da hiptese de que os requisitos de controles de SIC relacionados
gesto de incidentes de SI esto adequados para a COMPANHIA X. Contudo,
chama-se a ateno que um tratamento eficiente e eficaz dos incidentes de
segurana muito contribui para a gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
aprovar e implementar norma de gesto de incidentes de SIC; instituio e
formalizao de uma equipe de tratamento de incidentes em redes computacionais;
implementao de processo de gesto de incidentes de acordo com as melhores
prticas de gesto de servios (ITIL, 2000) e COBIT (2007); elaborar, implementar e
testar planos de continuidade de negcios e planos de recuperao de desastres.
Quanto Auditoria e Conformidade de Segurana da Informao foi
demonstrada a comprovao parcial da hiptese de que os requisitos de controle de
SIC, relacionados conformidade e auditoria interna esto adequados para a
COMPANHIA X. Contudo, denota-se a importncia desse tema para a gesto de
SIC, pois por meio dele que se pode verificar em que estgio de
amadurecimento encontra-se a organizao, ou que controles so necessrios e
suficientes para assegurar a SIC e o cumprimento dos objetivos do negcio.
Em relao a este item, recomendam-se as seguintes aes: divulgar
apropriadamente auditorias de SIC realizadas; definir parmetros de monitorao do
processo de gesto de SIC.
Quanto Gesto da Continuidade foi demonstrada a refutao da hiptese de
que os requisitos de controle de SIC relacionados continuidade do negcio esto
232
adequados para a COMPANHIA X. Apesar da importncia desse tema para a gesto
de SIC, e para o prprio negcio em si, a nota apreendida denota a urgncia do
estabelecimento de planos de ao que efetivamente mudem essa situao.
Recomendam-se as seguintes aes: elaborar, aprovar e implementar norma
para gesto de continuidade de negcios; instituir comit ou grupo de trabalho para
analisar as questes inerentes continuidade de negcios, instituir e atribuir o cargo
de gestor de continuidade de negcios que ser o responsvel pela coordenao da
rea de continuidade de negcios (em um primeiro momento essa coordenao
pode ficar a cargo do Gestor de SIC at que seja definido o responsvel definitivo);
instituir escritrio de processos de forma que sejam mapeados todos os processos
da organizao; criar normativo para operacionalizar os processos mapeados;
realizar uma Anlise de Impacto no Negcio (AIN); realizar anlise de riscos sobre
os principais ativos apontados pela AIN.
Por meio dos estudos de caso citados acima, cujos levantamentos de dados
foram documentados no captulo 4, das demais consideraes tecidas durante a
anlise efetuada no captulo 5, chega-se a uma resposta questo de pesquisa
inicialmente proposta, de que a forma de atingir um modelo de SIC mais adequado,
eficiente e eficaz para a COMPANHIA X perpassa pela adoo de um sistema de
gesto de SIC aderente s melhores prticas de gesto de segurana, tal como
preconizado pela norma 27001 (2006), pela norma 27002 (2005), e tambm pela
Instruo Normativa n 02 (IN02, 2009).
Sendo assim, os objetivos propostos pela pesquisa foram alcanados, dentre
eles:
Apresentao de um modelo de gesto de SIC que contempla as onze
sees da norma ABNT 27002 (2005), complementado com as
disciplinas do curso de gesto de SIC (CEGSIC 2009/2011) e as
demais disciplinas.
Proposio de um conjunto de controles de SIC aderentes legislao
e s melhores prticas de gesto de SIC de forma a atender os
requisitos do negcio;
Realizao de anlise de conformidade e aderncia dos requisitos de
controles de SIC escolhidos e preconizados pelas normas e legislao
referentes SIC;
233
Avaliao geral da situao atual da gesto de SIC da COMPANHIA X
por meio de anlises em seus ativos.
Dessa forma, a pesquisa agregou valor ao processo de escolha, construo e
implementao de uma metodologia de gesto de SIC na COMPANHIA X.
234
235
da Informao, da Universidade Federal de Santa Maria (UFSM,RS), Santa
Maria, RS, Brasil. 2007.
BRASIL. Constituio, 1988. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/constituicao/constitui%C3%A7ao.htm>.
Acesso em: Setembro de 2010.
BRASIL. Lei n 9.279, de 14 de maio de 1996: Regula direitos e obrigaes relativos
propriedade industrial. Disponvel em:
<http://www.planalto.gov.br/ccivil/leis/l9279.htm>. Acesso em: Setembro de
2009.
BRASIL. Lei N 9.609, de 19 de fevereiro de 1998: Dispe sobre a proteo da
propriedade intelectual de programa de computador, sua comercializao no
Pas, e d outras providncias. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/Leis/L9609.htm>. Acesso em: Setembro
de 2009.
BRASIL. Lei n 9.610, de 19 de fevereiro de 1998: Altera, atualiza e consolida a
legislao sobre direitos autorais e d outras providncias. Disponvel em:
<http://www.planalto.gov.br/ccivil/Leis/L9610.htm>. Acesso em: Setembro de
2010.
BRASIL. Decreto No. 3.505, de 13 de junho de 2000: Institui a poltica de segurana
da informao nos rgos e entidades da administrao pblica federal.
Braslia, 2000. Disponvel em: <http:www:planalto:gov:br/ccivil
03/decreto/D3505:htm>. Acesso em: Agosto de 2010.
BRASIL. Decreto n 4.553, de 27 de dezembro de 2002: Dispe sobre a salvaguarda
de dados, informaes, documentos e materiais sigilosos de interesse da
segurana da sociedade e do Estado, no mbito da Administrao Pblica
Federal. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm>. Acesso em:
Agosto de 2010.
BRASIL. Lei n 10.406, de 10 de janeiro de 2002: Institui o Cdigo Civil. Disponvel
em: < http://www.planalto.gov.br/ccivil/leis/2002/L10406.htm >. Acesso em:
Agosto de 2010.
CAMPOS, A. Sistemas de Segurana da Informao: controlando os riscos. 2. Ed Florianpolis: Visual Books, 2007.
CHAIM, Ricardo Matos. Modelagem, Simulao e Dinmica de Sistemas: GSIC003
V.1.1. (Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 48 p.
COBIT. Implementation Tool Set. 3 ed. USA, 2000. Disponvel em:
<http://www.itgi.org>. Acesso em: Janeiro de 2008.
236
COBIT. It Governance Institute. COBIT 4.1. 4.1. ed. USA, 2007. Disponvel em:
<http://www.itgi.org>. Acesso em: Julho de 2010.
CONHECIMENTO. Gesto do Conhecimento. Disponvel em:
<http://pt.wikipedia.org/wiki/Gest%C3%A3o_do_conhecimento>. Acesso em :
Agosto de 2011.
ESTRUTURA. Estrutura do COBIT. Disponvel em:
<http://pt.wikipedia.org/wiki/CobiT>. Acesso em: Julho de 2010.
FERNANDES, Jorge Henrique Cabral. Sistemas, Informao e Comunicao:
GSIC050 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 51 p.
FERNANDES, Jorge Henrique Cabral. Controle de Acessos: GSIC211 (Notas de
Aula). Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes: 2009/2011. Departamento de Cincias da Computao da
Universidade de Braslia. 2010. 32 p.
FONTES, E. L. G.. Praticando a segurana da informao. Rio de janeiro: Brasport,
2008.
FRIEDENHAIN, V. Um estudo sobre mtodos e processos para a implantao da
gesto de continuidade de negcios aplicveis a rgos da administrao
pblica federal brasileira. [S.l.], 12 2008. 56 p. Monografia de Concluso de
Curso (Especializao) - Departamento de Cincia da Computao, Instituto de
Cincias Exatas, Universidade de Braslia.
GONDIM, Joo Jos Costa. Gerenciamento das Operaes e Comunicaes:
GSIC602 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 23 p.
GONDIM, Joo Jos Costa. Tratamento de Incidentes de Segurana: GSIC651
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 23 p.
HOLANDA, Maristela Terto; FERNANDES, Jorge Henrique Cabral. Segurana no
Desenvolvimento de Aplicaes: GSIC701 (Notas de Aula). Curso de
Especializao em Gesto da Segurana da Informao e Comunicaes:
2009/2011. Departamento de Cincias da Computao da Universidade de
Braslia. 2010. 43 p.
IN01. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa N. 1, de
13 de junho de 2008: Disciplina a gesto de segurana da informao e
237
comunicaes na administrao pblica federal, direta e indireta, e d outras
providncias. Braslia, junho 2008. Disponvel em:
<http://dsic.planalto.gov.br/legislacaodsic>. Acesso em: Agosto de 2009.
IN02. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 2, de 13 de outubro de 2008: Defini a metodologia de gesto
de segurana da informao e comunicaes utilizada pelos rgos e
entidades da Administrao Pblica Federal, direta e indireta. Braslia, outubro
2008. Disponvel em
<http://dsic.planalto.gov.br/documentos/nc_2_metodologia.pdf>. Acesso em:
Junho de 2009.
IN03. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 3, de 30 de junho de 2009: Estabelece diretrizes, critrios e
procedimentos para elaborao, institucionalizao, divulgaoe atualizao da
Poltica de Segurana da Informao e Comunicaes (POSIC) nos rgos e
entidades da Administrao Pblica Federal, direta e indireta. Braslia, junho
2009. Disponvel em <http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf>.
Acesso em: Julho de 2009.
IN04. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 4, de 14 de agosto de 2009: Estabelece diretrizes para o
processo de Gesto de Riscos de Segurana da Informao e Comunicaes
GRSIC nos rgos ou entidades da Administrao Pblica Federal, direta e
indireta. Braslia, agosto 2009. Disponvel em
<http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>. Acesso em: Agosto
de 2009.
IN04. Secretaria de Logstica e Tecnolgia da Informao. Instruo Normativa n 4,
de 12 de novembro de 2010. Dispe sobre o processo de contratao de
Solues de Tecnologia da Informao pelos rgos integrantes do Sistema de
Administrao dos Recursos de Informao e Informtica (SISP) do Poder
Executivo Federal. Disponvel em
<http://www.in.gov.br/visualiza/index.jsp?data=16/11/2010&jornal=1&pagina=69
&totalArquivos=88>. Acesso em: Outubro de 2010.
IN05. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 5, de 14 de agosto de 2009: Disciplina a criao de Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos
rgos e entidades da Administrao Pblica Federal, direta e indireta. Braslia,
agosto 2009. Disponvel em
<http://dsic.planalto.gov.br/documentos/nc_05_etir.pdf>. Acesso em: Agosto de
2009.
IN06. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
238
Complementar n 6, de 11 de novembro de 2009: Estabelece diretrizes para
Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana
da Informao e Comunicaes, nos rgos e entidades da Administrao
Pblica Federal, direta e indireta. Braslia, novembro 2009. Disponvel em <
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf>. Acesso em: Novembro
de 2009.
IN07. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 7, de 06 de maio de 2010: Estabelece diretrizes para
implementao de controles de acesso relativos Segurana da Informao e
Comunicaes nos rgos e entidades da Administrao Pblica Federal,
direta e indireta. Braslia, maio 2010. Disponvel em <
http://dsic.planalto.gov.br/documentos/nc_7_controle_acesso.pdf>. Acesso em:
Maio de 2010.
IN08. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 8, de 19 de agosto de 2010: Disciplina o gerenciamento de
Incidentes de Segurana em Redes de Computadores realizado pelas Equipes
de Tratamento e Resposta a Incidentes de Segurana em Redes
Computacionais - ETIR dos rgos e entidades da Administrao Pblica
Federal, direta e indireta. Braslia, agosto 2010. Disponvel em <
http://dsic.planalto.gov.br/documentos/nc_8_gestao_etir.pdf>. Acesso em:
Agosto de 2010.
IN09. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 9, de 19 de novembro de 2010: Estabelece orientaes
especficas para o uso de recursos criptogrficos como ferramenta de controle
de acesso em Segurana da Informao e Comunicaes, nos rgos ou
entidades da Administrao Pblica Federal, direta e indireta. Braslia,
novembro 2010. Disponvel em: <
http://dsic.planalto.gov.br/documentos/nc_7_controle_acesso.pdf>. Acesso em:
Novembro de 2010.
ITIL. Information Technology Infrastructure Library: Service Support. Inglaterra:
Office for Government Commerce - OGC. 2000.
JUSTIA. Justia do trabalho nega a empregado direito de privacidade em e-mail
funcional. Jornal O Globo. Rio de Janeiro. 09 de junho de 2008. Disponvel em:
<http://oglobo.globo.com/economia/mat/2008/06/09/justica_do_trabalho_nega_
empregado_direito_de_privacidade_em_e-mail_funcional-546717365.asp.>
Acesso em: Setembro de 2010.
KIRKWOOD, Craig. System Dynamics Methods: A Quick Introduction. Disponvel
em: <http://www.public.asu.edu/~kirkwood/sysdyn/SDIntro/SDIntro.htm>.
Acesso em: Novembro 2010.
239
LEGISLAO. Legislao de Segurana da Informao e Comunicaes.
Disponvel em: <http://dsic.planalto.gov.br/legislacaodsic>. Acesso em: Maio de
2010.
MACHADO, Ulysses Alves de Levy. Direito na Sociedade da Informao: GSIC102
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 20 p.
MASSOCO, L. C. Privacidade e vigilncia no uso da internet em empresas.
Disponvel em: <http://www.grande.adv.br/node/253>. Acesso em: Setembro
de 2010.
NASCIMENTO, Anderson Clayton. Criptografia e Infraestrutura de Chaves Pblicas:
GSIC250 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2011. 44 p.
PINHEIRO, J. M. dos S. Palestra sobre Auditoria de Segurana em TI: Aliada ou
Inimiga proferida no 14 Congresso de Auditoria de TI, Segurana da
Informao e Governana, no Rio de Janeiro, em 28 de maro de 2011.
PINHEIRO, P. P. Direito Digital. 4 Ed. rev., So Paulo: Saraiva, 2010.
ROCHA, P. C. C. Segurana da Informao - Uma Questo No Apenas
Tecnolgica. [S.l.], 12 2008. Monografia de Concluso de Curso
(Especializao) - Departamento de Cincia da Computao, Instituto de
Cincias Exatas, Universidade de Braslia.
RODRIGUES, Roberto Wagner da Silva. Aquisio e Implementao, Entrega e
Suporte de Servios de TI: GSIC275 V.1.1. (Notas de Aula). Curso de
Especializao em Gesto da Segurana da Informao e Comunicaes:
2009/2011. Departamento de Cincias da Computao da Universidade de
Braslia. 2010. 46 p.
RODRIGUES, Roberto Wagner da Silva; FERNANDES, Jorge Henrique Cabral.
Auditoria e Conformidade de Segurana da Informao: GSIC345 (Notas de
Aula). Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes: 2009/2011. Departamento de Cincias da Computao da
Universidade de Braslia. 2010. 57 p.
SALGADO, I. J. C.; SILVA, R. S. da; BANDEIRA, R. Anlise de segurana fsica em
conformidade com a norma ISO/IEC 17799. Monografia apresentada como
requisito parcial, para a concluso do curso de Tecnologia em Segurana da
Informao das Faculdades Integradas Icesp. 2004. 325 p.
SAMPAIO, F. Dinmica de sistemas e modelagem computacional. Disponvel em:
<http://www.nce.ufrj.br/ginape/jlinkit/modelagem1.htm>. Acesso em: Novembro
de 2010.
240
SMOLA, M. Gesto da segurana da informao: Uma viso executiva. Elsevier,
2003 9 reimpresso, 154 p.
SILVA, D. R. P. A memria humana no uso de senhas. Tese de Doutorado.
Faculdade de Psicologia. Programa de Ps-Graduao em Psicologia. PUCRS,
2007. Disponvel on line em
http://tede.pucrs.br/tde_busca/arquivo.php?codArquivo=1081. Acesso em 25 de
agosto de 2010.
SILVA, Tiago Barros Pontes. Protocolos de Comunicao Homem-Mquina:
GSIC601 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 28 p.
TUTORIAL. Tutorial sobre dinmica dos Sistemas NCE UFRJ. Disponvel em:
<http://www.nce.ufrj.br/ginape/wlinkit//tutorial/temasrelacionados.htm>. Acesso
em: Novembro de 2010.
VENEZIANO, Wilson Henrique. Organizaes e Sistemas de Informao: GSIC051
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 13 p.
VIDAL, Flvio de Barros. Controles de Segurana Fsica e Ambiental: GSIC202
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 29 p.
241
12