Aplicao das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002

em uma mdia empresa

Mateus Souza Oliveira

Universidade Estadual do Sudoeste da Bahia (UESB)

Saulo Correa Peixoto,

Universidade Estadual do Sudoeste da Bahia (UESB) / Faculdade de Tecnologia e Cincia (FTC)

Alex Ferreira Santos,

Universidade Federal do Recncavo da Bahia (UFRB)

Robson Hebraico Cipriano Manioba,

Universidade Estadual do Sudoeste da Bahia (UESB)

Marcelo Alves Guimares

Universidade Estadual do Sudoeste da Bahia (UESB)

RESUMO

Este trabalho teve como objetivo a realizao de uma anlise dos aspectos relacionados segurana
da informao em uma mdia empresa, antes e depois da implementao das normas ABNT NBR
ISO/IEC 27001 e ABNT NBR ISO/IEC 27002. Adotou metodologia de natureza aplicada,
exploratrio-descritiva e de abordagem quantitativa e qualitativa. Aps realizao do estudo, foram
percebidas melhorias nos itens relacionados Segurana da Informao no cenrio de estudo. Os
resultados obtidos levaram concluso de que possvel implementar as normas em empresas de
mdio porte, com baixo custo, e obter resultados significativamente positivos.
Palavras-chave: Norma ABNT; Segurana da Informao; Implementao de Normas.

ABSTRACT

This work aims to conduct an analysis of aspects related to information security in an average
company, before and after in the implementation of the standards ISO / IEC 27001 and ISO / IEC
27002. Adopted the methodology of applied nature, exploratory descriptive and approach
quantitative and qualitative . After completion of the study, improvements were noted in items
related to Information Security in the study setting. The results led to the conclusion that it is
possible to implement the standards in midsize companies, with low cost, and get significantly
positive results.
Key-words: Standards ABNT; Information Security; Implementation of Standards.
 38

1. Introduo

Com o avano da tecnologia e da Internet nos ltimos anos, crimes por meio do cyber
espao como fraudes, roubo de senhas e de informaes confidenciais, se tornaram notcias
frequentes no mundo dos negcios. Grupos de pessoas mal-intencionadas, fazendo uso destes
meios, atacam pontos de vulnerabilidade das empresas, gerando caos, danos financeiros e
denegrindo a imagem das mesmas no mercado, trazendo enormes prejuzos s instituies.
De acordo com o grfico na Figura 1, do Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil (CERT.br), que faz um levantamento anual de incidentes de
segurana reportados, o total de notificaes em 2011 foi de 399.515, nmero muito superior ao ano
de 2010 (142.844). O nmero cresce exponencialmente desde 1999, ano em que se iniciou o
levantamento, e que contou com apenas 3107 incidentes reportados. 2012 mostrou-se o ano com a
maior ocorrncia de incidentes, o nmero de incidentes chegou a 466.029 [CERT.br, 2014].

Figura 1. Total de incidentes reportados ao CERT.br por ano. Fonte: [CERT.br, 2014].

Mesmo estando no topo de prioridades das grandes organizaes, a Segurana da Informao

(SI) muitas vezes negligenciada nas pequenas e mdias empresas (PMEs). Especialistas so
unnimes em afirmar que a questo da segurana mais relevante nas mdias empresas, onde o
oramento reduzido e a estruturao de um setor de segurana, invivel [ngelo, 2009].

2. Objetivo

O presente estudo teve como objetivo a realizao de uma anlise dos aspectos relacionados
segurana da informao em uma mdia empresa, antes e depois da implementao das normas
ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, demonstrando a importncia e eficcia
do estabelecimento de normas de SI em organizaes de mdio porte.

3. Reviso da Literatura

3.1 Segurana da Informao

Em 1986, dois estudantes canadenses, utilizando computadores pessoais e um modem,

conseguiram invadir os sistemas da indstria de refrigerantes Pepsi-Cola, realizando entregas de
refrigerantes nas casas de amigos e parentes. O fato considerado por muitos como o marco zero
dos estudos de segurana em redes de computadores [Moraz, 2006]. A partir de ento, a
informao, que o resultado do processamento e da organizao de dados, comeou a ser mais
valorizada pelas organizaes.
 39

Nesse mbito de insegurana do ambiente de tecnologia que cerca principalmente as grandes

empresas, surge a Segurana da Informao. A SI a proteo da informao contra ataques e
falhas, ou ainda, a proteo da informao de vrios tipos de ameaas para garantir a continuidade
do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as
oportunidades de negcio [ABNT NBR ISO/IEC 27002, 2005].
A SI a responsvel pela proteo da informao. Esta deve garantir a continuidade das
atividades, a integridade da informao e a disponibilidade da informao e dos servios da
organizao. Ramos (2008) aborda sobre a chamada trade (ou trip) da SI, como ilustra a Figura 2.

Figura 2. Trade da Segurana da Informao (aspectos bsicos).

A trade formada pelos aspectos bsicos da SI. So eles:

Confidencialidade: Trata basicamente do sigilo. a garantia de que apenas as pessoas
autorizadas tero acesso determinada informao;
Integridade: Preservar a integridade consiste em proteger a informao contra
modificaes no autorizadas;
Disponibilidade: Preza por garantir que a informao esteja disponvel a todos que tem
autorizao, sempre que precisarem. Assim como a integridade, a disponibilidade
pode ser comprometida por situaes acidentais ou intencionais.
Com a Internet se popularizando e os crimes no ambiente tecnolgico aumentando, a
preocupao com a Segurana da Informao aumentou, levando os pases a criarem normas e
padres, no intuito de organizar a segurana e proteger as organizaes.

3.2 Normas de Segurana da Informao

As primeiras normas relacionadas segurana da informao surgiram na Inglaterra. A

preocupao comeou com o Departamento de Indstria e Comrcio (DTI Departament of Trade
and Industrys), que fundou um grupo em 1987 para elaborar um conjunto de critrios de validao,
alm de uma forma de certificao e um cdigo de boas prticas de segurana da informao. O
documento continuou sendo desenvolvido at se tornar um padro britnico para gesto de SI,
nomeado PD 0003. Em 1995, o mesmo se tornou a norma British Standard BS7799:1995 [Campos,
2006].
Com a preocupao em saber se as organizaes estavam ou no implementando as
recomendaes da BS7799, foi publicado um novo documento em 1998, a BS7799:1998-2. Esse
segundo documento j tinha como objetivo servir como um documento de certificao, pois trazia o
conjunto de controles que deveriam ser aplicados para garantir que o cdigo de prtica, agora
chamado de BS7799:1995-1, estava sendo seguido. Ele foi atualizado para se adequar a outros
padres de sistemas de gesto, e recebeu nova verso em 2002, a BS7799-2:2002 [Campos, 2006].
O cdigo de prtica recebeu atualizao em 1999, e em 2000 a International Organization for
Standardization (ISO) homologou a norma, publicada como ISO/IEC 17799:2000. A ISO ainda fez
uma atualizao da norma, publicando em 2005 a ISO/IEC 17799:2005. Em 2006 foi publicada a
BS7799-3:2006, em conformidade com a ISO/IEC 27001, para tratar da avaliao e tratamento de
 40

riscos [BSI Shop, 2006]. Aps a criao da famlia ISO 27000, em 2007, a ISO/IEC 17799 passou a
ser chamada de ISO/IEC 27002 [The ISO 27000 Directory].
A norma ISO/IEC 27000 trata de uma explicao da srie de normas 27000, ponto de partida
para o gerenciamento de segurana, objetivos e vocabulrios [ISO/IEC 27000, 2012].
A norma ISO/IEC 27003 trata das diretrizes para a implantao de um Sistema de Gesto da
Segurana da Informao. Segundo a prpria ISO/IEC 27003, O propsito desta norma fornecer
diretrizes prticas para a implementao de um Sistema de Gesto da Segurana da Informao
(SGSI), na organizao, de acordo com a ABNT NBR ISO/IEC 27001:2005 [ABNT NBR
ISO/IEC 27003, 2011].
A ISO/IEC 27004 fornece diretrizes para o desenvolvimento de mtricas, para realizar
avaliao da eficcia de SGSIs e dos controles implementados conforme a ISO/IEC 27001 [ABNT
NBR ISO/IEC 27004, 2010].
A ISO/IEC 27005 fornece as diretrizes para o processo de gesto de riscos de SI. Est em
conformidade com o modelo de SGSI da ISO/IEC 27001 [ABNT NBR ISO/IEC 27005, 2008].
A ISO/IEC 27006 trata de requisitos para auditorias externas em um SGSI, ou seja, especifica
requisitos e fornece orientaes para os rgos que realizam auditoria e certificao de SGSI [ISO,
2011].
A ISO/IEC 15408, tambm conhecida como Common Criteria" (Critrios comuns), surgiu
para unificar padres de segurana e eliminar as diferenas de critrios. um padro internacional
de desenvolvimento de produtos seguros, o qual descreve uma lista de critrios (requisitos) de
segurana que um produto deve ter. dividida em trs (nmeros de zero a nove devem ser escritos
por extenso e acima de 10, em algarismos numricos, conforme ABNT NBR 6023) partes: ISO/IEC
15408-1 (Introduo e modelo geral), ISO/IEC 15408-2 (Requisitos funcionais de segurana) e
ISO/IEC 15408-3 (garantia de requisitos de segurana) [ISO/IEC 15408-1, 1999].
A norma NBR 15999 veio da norma britnica BS 25999-1:2006, e trata sobre Gesto de
Continuidade de Negcios (GCN), um importante tpico dentro da SI. dividido em duas partes: A
NBR 15999-1 Cdigo de Prtica, que estabelece os princpios para o entendimento e aprendizado
das boas prticas do GCN, e as vantagens para o negcio; e a NBR 15999-2 Especificaes, que
aborda os requisitos para a completa implementao de um Sistema de Gesto de Continuidade de
Negcios [ABNT NBR 15999-1, 2007; ABNT NBR 15999-2, 2008].

3.3 ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002

A ABNT NBR ISO/IEC 27001 foi desenvolvida a partir da BS 7799-2:2002, sendo uma
traduo da ISO/IEC 27001 mantida pela ABNT. Seu objetivo prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema
de Gesto de Segurana da Informao (SGSI) [ABNT NBR ISO/IEC 27001, 2006].
Doravante, para simplificar, as normas podero ser mencionadas pelos nomes das suas
verses em ingls (ISO/IEC 27001 e ISO/IEC 27002).
A ISO/IEC 27001 descreve um ciclo de atividades que, uma vez seguido, leva
implementao de um SGSI. Adotar um SGSI precisa ser um propsito estratgico da organizao,
ou seja, sua implementao deve ser adequada aos objetivos, porte, estrutura e necessidades da
mesma. Tambm deve ser levado em considerao o nvel de maturidade em segurana, visto que a
implementao de um SGSI um processo que deve evoluir gradativamente [ABNT NBR ISO/IEC
27001, 2006].
A ISO/IEC 27001 utiliza o modelo chamado de PDCA (Plan-Do-Check-Act) para estruturar o
SGSI. A Figura 3 ilustra o ciclo do PDCA, onde podemos observar as seguintes etapas:
 41

Figura 3. Ciclo PDCA aplicado aos processos de um Sistema de Gesto de Segurana da

Informao
Fonte: [Profissionais TI, 2010].

Plan (planejar): Nessa fase planejado e definido o escopo do SGSI, ou seja, onde o
mesmo ser criado de acordo com os objetivos da organizao. Nesta fase tambm
sero levantados os riscos e controles de segurana que sero tratados;
Do (fazer): Aqui ser implementada a Poltica de Segurana da Informao (PSI) que
sustentar o SGSI, assim como sero criados os controles e procedimentos. Nessa fase
importante a existncia de aes de conscientizao e treinamentos em segurana da
informao;
Check (checar): A anlise e monitoramento do SGSI so feitas nessa fase, onde deve
ser verificado se a PSI e os controles implementados esto sendo seguidos. Nessa fase
poder ser utilizada uma auditoria, interna ou externa. Por fim, os resultados devero
ser apresentados para a direo, para que sejam tomadas as decises que influenciaro
na fase seguinte;
Act (agir): Essa fase ir buscar a melhoria contnua do SGSI, atravs da
implementao de melhorias, aes corretivas e preventivas, a partir dos resultados
obtidos na fase anterior.
A norma est atrelada s ABNT NBR ISO 9001:2000 (norma que trata sobre sistema de
gesto da qualidade) e ABNT NBR ISO 14001:2004 (norma que busca estabelecer um sistema de
gesto ambiental) para embasamento na implementao e operao consistente e integrada das
normas de gesto. Um sistema de gesto corretamente arquitetado pode, dessa forma, preencher os
requisitos de todas estas normas [ABNT NBR ISO/IEC 27001, 2006].
A ABNT NBR ISO/IEC 27002, publicada inicialmente como ABNT NBR ISO/IEC 17799,
uma traduo da ISO/IEC 27002.
A ISO/IEC 27002 um cdigo de prtica de SI, ou seja, "um guia prtico para desenvolver os
procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da
segurana" [ABNT NBR ISO/IEC 27002, 2005].
A ISO/IEC 27002 possui 15 captulos, incluindo 133 controles que esto divididos em 11
captulos, chamados sees de controles de segurana da informao. H tambm um captulo que
uma seo introdutria, que aborda anlise, avaliao e tratamento de riscos.
Patricia Peck, em seu livro Direito Digital (2010), diz que, segundo a ISO/IEC 27002, para a
implantao da SI so necessrios os seguintes passos:
Inventariar os ativos;
Realizar anlise de risco;
Classificar as informaes;
Criar um Comit de Segurana;
Elaborar uma PSI;
Auditar os controles que foram criados ou no;
Criar planos de contingncia.
A autora ainda acrescenta que diversos fatores devem ser levados em considerao, como por
exemplo, aspectos tcnicos (hardware e software para SI) e aspectos jurdicos [PINHEIRO, 2010].
 42

Vale salientar que a ISO/IEC 27002 aconselha a criao das suas prprias diretrizes, pois nem
todos os controles da norma podem ser aplicados sua organizao, e tambm controles adicionais
(no includos na norma) podem ser necessrios.
As normas ISO/IEC 27001 e ISO/IEC 27002 diferem basicamente nos seus objetivos. Cada
uma tem um foco especfico, mas a aplicao semelhante, visto que ambas utilizam o mesmo
conjunto de controles de SI. As sees de controles listadas no Anexo A da ISO/IEC 27001 so
esmiuadas e detalhadas na ISO/IEC 27002, e a prpria ISO/IEC 27001 sinaliza isso, dizendo que
os controles so derivados diretamente e esto alinhados com os listados pela ISO/IEC 27002, e que
esta fornece recomendaes e um guia de implementao das melhores prticas para apoiar os
controles especificados [ABNT NBR ISO/IEC 27001, 2006].
Logo, para a aplicao da ISO/IEC 27001 fundamental que a ISO/IEC 27002 seja utilizada
em conjunto, possibilitando um melhor entendimento dos controles de SI e uma correta
implementao do SGSI.

3.4 Aplicao das Normas

A aplicao do trabalho ocorreu numa indstria do ramo alimentcio que teve sua constituio
no ano de 1979. A empresa atende principalmente ao estado da Bahia, mas tambm vende a estados
do Sudeste e a outros estados do Nordeste.
Como possui mais de 100 e menos de 500 funcionrios, se enquadra como empresa de mdio
porte, segundo critrio de classificao do Instituto Brasileiro de Geografia e Estatstica (IBGE) e
do Servio Brasileiro de Apoio s Micro e Pequenas Empresas (SEBRAE) [SEBRAE-SC].
Por se tratar de um trabalho que abordar falhas, vulnerabilidades e outras particularidades de
segurana da empresa, convencionou-se que, nesta pesquisa, a mesma ser chamada apenas de
Empresa.

3.5 Escopo do Trabalho

O trabalho foi realizado no ambiente de Tecnologia, Informao e Comunicao (TIC) da

Empresa, ou seja, em seus escritrios. Ali se localizam todos os computadores e perifricos
computacionais, por onde transitam todas as informaes da organizao.
Segundo a nomenclatura utilizada na Empresa, as reas analisadas foram: Gerncia
Administrativa, Gerncia Comercial, Gerncia Financeira, Recursos Humanos, Superviso de
Vendas, Setor Fiscal, Faturamento, Contabilidade, Recepo e o Centro de Processamento de Dados
(CPD).

4. Metodologia

Este um estudo de natureza aplicada, de abordagem quantitativa e qualitativa, que utilizou o

mtodo exploratrio-descritivo e teve como delineamento o levantamento de dados atravs do
mtodo survey.
Os sujeitos da pesquisa foram os diretores e funcionrios que faziam parte do fluxo da
informao na empresa. Pode ser classificada ainda como uma pesquisa-ao, pois procurou
estabelecer uma relao com uma ao ou um problema coletivo.

4.1 Etapas realizadas

As atividades realizadas, em ordem de execuo, foram as seguintes:

1.Alinhamento e planejamento de Segurana da Informao;
2.Levantamento tecnolgico;
 43

3.Diagnstico inicial de conformidade;

4.Criao da Poltica de Segurana da Informao;
5.Criao de documentos auxiliares;
6.Treinamento em Segurana da Informao;
7.Diagnstico final de conformidade;
8.Pesquisa de satisfao.

4.2 Alinhamento e Planejamento de Segurana da Informao

Antes de iniciar as aes para aplicao das normas, foram necessrias algumas reunies com
a diretoria da Empresa, para que fosse definido o escopo da aplicao, os objetivos da empresa, de
modo que tudo fosse feito de forma alinhada aos objetivos de negcio da Empresa.
Na primeira reunio, ocorrida em maro de 2011, obteve-se o comprometimento da diretoria
no desenvolvimento do trabalho, onde, a partir da proposta realizada, foi possvel contar com o
apoio para a disponibilizao dos recursos (tempo, pessoas e equipamentos), dentro dos limites que
a prpria diretoria iria definir ao longo do trabalho.
O prximo passo foi alinhar as opinies e objetivos, para realizar o trabalho de acordo com o
que a Empresa mais precisava no que diz respeito SI. Para isso aconteceram trs reunies, onde
foram discutidos alguns assuntos de forma mais detalhada: quais os objetivos do trabalho, o que as
normas utilizadas (ISO/IEC 27001 e ISO/IEC 27002) recomendavam, o que poderia ser aplicado na
Empresa, quais os processos crticos da Empresa e as principais ameaas a esses processos.
A partir disso criou-se o planejamento de SI da Empresa, que resultou nas demais atividades.

4.3 Levantamento Tecnolgico

Foi realizado um levantamento tecnolgico, com o objetivo de oferecer para a organizao

um maior controle sobre seus recursos tecnolgicos e agilidade nas tomadas de decises que
envolvem os recursos de TI. Para tanto, foi documentado todo o ambiente fsico e lgico da TI da
empresa.
Nesse levantamento foram verificados os seguintes itens:
Inventrio de hardware, que incluiu todos os computadores, incluindo os servidores,
impressoras e outros perifricos, assim como suas devidas configuraes;
Inventrio de software, com uma lista de todos os softwares instalados em todos os
computadores;
Endereamento IP, com uma lista dos IPs de todos os computadores;
Internet, com as configuraes e descries da Internet principal e da Internet que
serve de contingncia.
Os inventrios e listas foram divididos pelos setores da empresa.

4.4 Diagnstico Inicial de Conformidade

Aps o levantamento tecnolgico, foram criadas checklists. O objetivo era apontar quais
requisitos das normas ISO/IEC 27001 e ISO/IEC 27002 estavam sendo atendidos pela Empresa.
As checklists foram divididas em: Aspectos Organizacionais, Segurana fsica, Segurana
Lgica, Planos de Contingncia.
O mtodo adotado na aplicao das checklists consiste numa srie de itens relacionados
segurana da informao, onde, para cada item h dois valores. O primeiro valor uma nota que
varia de zero a 10 e aponta a situao na qual a empresa se encontra, sendo zero o item totalmente
inexistente e 10 o item que completamente implementado, em perfeito estado. O segundo valor
o grau de importncia atribudo para o item, que deve receber um dos seguintes valores:
 44

um, quando o item no for importante;

cinco, quando o item tiver mdia importncia;
dez, quando o item tiver alta importncia.
Com os checklists respondidos, realizou-se o seguinte clculo: em cada item multiplicou-se a
nota pelo grau de importncia atribudo, e em seguida o resultado da soma de todos os itens foi
dividido pela quantidade de itens, apurando-se a mdia geral.

4.5 Criao da Poltica de Segurana da Informao

Uma das principais atividades no processo de implementao das normas ISO/IEC 27001 e
ISO/IEC 27002 a criao da PSI. Essa atividade foi uma das mais demoradas (levou
aproximadamente trs meses para ser realizada), pois dependia de alinhamento com a diretoria e
aceitao das diretrizes que iriam compor a poltica.
As maiores dificuldades do trabalho foram identificadas durante a criao da PSI. A primeira
diz respeito ao entendimento e conhecimento sobre SI. Em cada etapa ou assunto, fora necessrio
explicar vrias vezes os conceitos e objetivos para que fossem compreendidos e aceitos. A segunda
dificuldade foi com relao ao tempo e esforo, dedicados. Apesar da demonstrao de interesse
dos diretores, revelou-se tarefa rdua realizar reunies com a diretoria. Muitas vezes participavam
apenas um ou dois dos diretores, e diversas vezes reunies foram adiadas por motivos variados, o
que atrasou a realizao das atividades.
Possveis ameaas foram expostas e as diretrizes foram alinhadas. Com relao ao custo, todo
o trabalho realizado foi isento de custos para a Empresa. Porm, houve gastos para que fossem
colocados em prtica os Planos de Continuidade, objetivando a no interrupo de atividades
crticas como, por exemplo, os montantes despendidos com a aquisio de um servidor secundrio
(reserva). Tambm houve gastos indiretos relativos ao tempo disponibilizado, principalmente pela
diretoria. Destarte, os gastos foram mnimos, sempre abaixo do mximo estipulado pela diretoria da
Empresa.
A diretoria tambm tinha algumas preocupaes prvias, relativas : criao de senhas;
proliferao de cdigos maliciosos; realizao de backups; e interrupo de atividades crticas.
Essas preocupaes foram avaliadas e diretrizes foram criadas na PSI para regulamentar
procedimentos, no sentido de reduzir os riscos ou impactos das possveis ameaas.
Aps total alinhamento das diretrizes e permisso da diretoria, a PSI foi finalizada e
apresentada aos diretores e aos funcionrios.

4.6 Criao de documentos auxiliares

Alguns documentos foram criados para dar apoio PSI e, consequentemente, ao SGSI da
Empresa.
Inicialmente, criou-se um documento chamado Declarao de Comprometimento, que tem
como objetivo atestar a aprovao da PSI e o comprometimento da diretoria da empresa no
cumprimento da mesma, seguindo os prazos estabelecidos, disponibilizando os recursos
necessrios, cobrando e conscientizando os funcionrios etc. Em seguida, foram criados os
seguintes documentos: Comit Permanente de Segurana (CPS) e Grupo de Segurana de
Informao (GSI).
Para atender a algumas necessidades apontadas pela empresa, foram criadas algumas Normas
de SI. So elas: Uso da Internet, Uso do e-mail, Uso da senha de acesso.
Tambm foi criado o Formulrio de registro de Incidente de Segurana, com o objetivo de
documentar os incidentes de segurana de informao, possibilitando investigaes posteriores e
aes corretivas mais eficientes.
 45

Posteriormente, foi criado tambm um Termo de Responsabilidade e Sigilo, no intuito de

dar um subsdio legal para a Empresa cobrar o compromisso dos funcionrios, no que diz respeito a:
seguir as polticas e normas, reconhecer a Empresa como proprietria das informaes inerentes a
ela, manter o sigilo das informaes e ter cincia de que suas aes podem ser monitoradas pela
empresa.
Por fim, foi criado o documento intitulado Planos de continuidade de negcios, que consta
de trs planos de continuidade, para atender aos recursos ou servios mais crticos (de maior
impacto na ocorrncia de incidentes) da Empresa.

4.7 Treinamento em Segurana da Informao

Funcionrios e diretores da empresa participaram do treinamento em SI. O treinamento

objetivava conscientiz-los e trein-los nas boas prticas de SI, mas foi utilizado tambm como
instrumento para apresentar a PSI, as normas e os procedimentos criados, os objetivos do trabalho e
o apoio da diretoria. Essa atividade durou aproximadamente dois meses, pois demandava tempo dos
participantes e, portanto, era necessrio aguardar que estivessem disponveis.
O treinamento dividiu-se em trs partes, e foi realizado com grupos de trs ou quatro pessoas,
por vez. De acordo com a disponibilidade dos presentes, eram apresentadas uma, duas ou at as trs
partes do treinamento em um mesmo dia.
A primeira parte foi introdutria e tratou de: conceitos bsicos; conscientizao, justificando a
importncia de se preocupar com a SI e mostrando a situao atual da SI no Brasil e na Empresa;
apresentao dos objetivos do trabalho; e comprometimento da diretoria na realizao do mesmo.
Na segunda parte foram apresentados alguns problemas tpicos de SI nas organizaes,
dificuldades para a conscientizao, exemplos de casos e situaes reais, direitos e deveres dos
funcionrios, alguns conceitos relacionados a cdigos maliciosos e foram recomendadas cartilhas
gratuitas que tratam o tema segurana.
Na terceira e ltima parte do treinamento foram apresentadas: dicas gerais e boas prticas de
SI; as normas que foram criadas para dar apoio PSI; dicas relativas a transaes bancrias pela
Internet, como lidar com o spam, cuidados com dispositivos mveis e com cdigos maliciosos. Em
seguida, passou-se parte prtica do treinamento, onde todos aprenderam a: como criar senhas mais
seguras, como identificar sites e e-mails falsos; como utilizar o antivrus corporativo para remover
ameaas detectadas, realizar atualizaes e verificaes manuais, e como reportar a deteco de
ameaas pelo antivrus.

4.8 Diagnstico Final de Conformidade

A partir das mesmas checklists utilizadas anteriormente, no Diagnstico inicial de

conformidade, foi feito um novo diagnstico de conformidade, utilizando o mesmo mtodo. Para
cada item foram mantidos os graus de importncia atribudos anteriormente, mas foram inseridas
novas notas para a situao. Em seguida calculou-se a mdia geral, para comparao com o
diagnstico inicial de conformidade.

4.9 Pesquisa de satisfao

Ao final do trabalho, foi realizada uma pesquisa de satisfao com funcionrios e com
diretores da empresa. O objetivo da pesquisa foi mensurar o que os diretores e funcionrios
pensavam sobre o trabalho realizado e o seu impacto no dia a dia da empresa.
Para a realizao da pesquisa fez-se necessrio submeter o projeto a apreciao do Comit de
tica em Pesquisa (CEP) da Universidade Estadual do Sudoeste da Bahia (UESB). O procedimento
 46

para coleta de dados teve incio to logo foi aprovado e autorizado pelo CEP, conforme o
Certificado de Apresentao para Apreciao tica (CAAE) nmero 03619112.7.0000.0055.
Todos os participantes tiveram que assinar um Termo de Consentimento Livre e Esclarecido
(TCLE), o qual esclarece os objetivos da pesquisa, alm dos direitos do participante e dos
pesquisadores.
A pesquisa foi dividida em dois questionrios, um a ser respondido pelos diretores e o outro
pelos demais funcionrios. Cada um deles, contendo perguntas em comum e perguntas especficas.
No total, foram trs questionrios respondidos pelos diretores e oito respondidos pelos funcionrios.
Aps aceitar participar da pesquisa e assinar o TCLE, o funcionrio ou diretor pde responder
a pesquisa.
Em seguida as respostas dos questionrios foram contabilizadas e tabeladas, para a obteno
dos resultados.

5. RESULTADOS

Os resultados obtidos no Diagnstico inicial de conformidade foram:

Aspectos Organizacionais: 25,51%;
Segurana Fsica: 54,66%;
Segurana Lgica: 49,54%;
Planos de Contingncia: 28,40%.
Os resultados obtidos no Diagnstico final de conformidade foram:
Aspectos Organizacionais: 75,83%;
Segurana Fsica: 66,70%;
Segurana Lgica: 71,52%;
Planos de Contingncia: 78,26%.

A Figura 4 traz um grfico com o comparativo dos diagnsticos inicial (1 diagnstico) e final
(2 diagnstico).

Figura 4. Comparativo do diagnstico

notvel que dois itens de SI tiveram grande melhoria (aproximadamente 50%) e outros dois
itens tiveram melhoria inferior a 25%.
Os resultados da checklist de aspectos organizacionais tiveram grande melhoria, devido
criao da PSI, e normas e procedimentos implantados em decorrncia da mesma.
Em decorrncia da criao dos planos de continuidade para servios crticos, o diagnstico
dos planos de contingncia tambm apresentou grande melhoria nos resultados.
Os itens segurana fsica e segurana lgica tiveram uma melhoria inferior, que ocorreu
devido a dois motivos principais: ambos tinham 50% ou mais de conformidade; ambos
necessitavam de um maior investimento financeiro para melhorias mais significativas.
 47

Comparando-se os resultados, a melhoria do 1 para o 2 diagnstico foi de: 50,32% em

Aspectos Organizacionais, 12,04% em Segurana Fsica, 21,98% em Segurana Lgica e 49,86%
em Planos de Contingncia.
Os resultados da pesquisa de satisfao apresentados em 28 grficos. Sendo 18 dos
questionrios aplicados com a diretoria e 10 com os funcionrios.
A Figura 5 ilustra alguns dos resultados dos questionrios aplicados com a diretoria.

Figura 5. Grficos diretoria 1

Como visto na Figura 5, os participantes consideraram que tiveram uma boa melhoria em seus
conhecimentos sobre SI e a maioria respondeu que as polticas e normas que foram criadas esto
sendo seguidas e que h planos para que sejam atualizadas.
As perguntas 11 e 12 (Figura 6) abordam os planos de continuidade. Os diretores da Empresa
responderam que alguns planos j foram testados e que j houve a necessidade de utilizao. Ainda
na Figura 6, sobre o nmero de incidentes de segurana, todos os participantes afirmam que houve
alta reduo, e sobre custos, a maioria dos diretores acredita que a Empresa teve custos durante o
estudo.

Figura 6. Grficos diretoria 2

A alguns dos resultados dos questionrios aplicados com os funcionrios.

 48

Figura 7. Grficos funcionrios

Como visto na Figura 7, a maioria dos participantes considerou que o seu nvel de
conhecimento sobre SI melhorou. A pergunta 6 questionou sobre as polticas e normas que foram
criadas. A maioria dos participantes respondeu que as mesmas esto sendo seguidas totalmente,
enquanto 25% afirmou que so seguidas parcialmente. Na pergunta 10, ainda na Figura 7, possvel
observar que todos os participantes consideraram que houve melhoria na SI da empresa, onde 50%
afirmaram ter havido grande melhoria.

6. CONCLUSO

Para a realizao deste trabalho, foi levada em considerao a rpida evoluo tecnolgica, o
aumento crescente no nmero de crimes digitais e incidentes de segurana, como tambm a situao
atual da Segurana da Informao no mbito corporativo.
Aps a aplicao das normas ISO/IEC 27001 e ISO/IEC 27002 foi possvel observar uma
grande melhoria nos nveis de SI da empresa. O resultado do diagnstico de conformidade final
mostrou uma melhoria significativa e o resultado da pesquisa de satisfao mostrou que
funcionrios e diretores ficaram mais satisfeitos com o desempenho do trabalho.
A partir dos resultados obtidos neste trabalho, pde-se chegar concluso de que possvel
melhorar os ndices de Segurana da Informao na empresa com baixo custo, e ainda que normas
de gesto de SI podem ser aplicadas com sucesso em empresas de mdio porte.

7. Referncias

ABNT NBR 15999-1. (2007). Gesto de continuidade de negcios. Parte 1: Cdigo de prtica. Rio
de Janeiro: Associao Brasileira de Normas Tcnicas.
ABNT NBR 15999-2. (2008). Gesto de continuidade de negcios Parte 2: Requisitos. Rio de
Janeiro: Associao Brasileira de Normas Tcnicas.
ABNT NBR ISO/IEC 27001. (2006). Tecnologia da informao Tcnicas de Segurana
Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro: Associao
Brasileira de Normas Tcnicas.
 49

ABNT NBR ISO/IEC 27002. (2005). Tecnologia da informao Tcnicas de Segurana Cdigo
de prtica para a gesto da segurana da informao. Rio de Janeiro: Associao Brasileira
de Normas Tcnicas.
ABNT NBR ISO/IEC 27003. (2011). Tecnologia da informao Tcnicas de Segurana
Diretrizes para implantao de um sistema de gesto da segurana da informao. Rio de
Janeiro: Associao Brasileira de Normas Tcnicas.
ABNT NBR ISO/IEC 27004. (2010). Tecnologia da informao Tcnicas de Segurana Gesto
da segurana da informao Medio. Rio de Janeiro: Associao Brasileira de Normas
Tcnicas.
ABNT NBR ISO/IEC 27005. (2008). Tecnologia da informao Tcnicas de Segurana Gesto
de riscos de segurana da informao. Rio de Janeiro: Associao Brasileira de Normas
Tcnicas.
NGELO, F. (2009). Segurana deve ser foco de pequenas e mdias empresas.
COMPUTERWORLD, http://computerworld.uol.com.br/seguranca/2009/10/27/pequenas-e-
medias-empresas-tambem-devem-focar-em-seguranca/, Julho de 2012.
British Standard (BS). (2006). BS 7799-3:2006.
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030125022, Dezembro de 2012.
CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil). (2014).
inc-stats.png. http://www.cert.br/stats/incidentes/inc-stats.png, Fevereiro de 2014.
CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil). (2012).
Sobre o CERT.br. http://www.cert.br/sobre/, Janeiro de 2014.
ISO (International Organization for Standardization). (1999). ISO/IEC 15408-1:1999. Information
technology Security techniques Evaluation criteria for IT security Part 1:
Introduction and general model. Genebra.
ISO (International Organization for Standardization). (2012). ISO/IEC 27000:2012. Information
technology Security techniques Information security management systems Overview
and vocabular. Genebra.
ISO (International Organization for Standardization). (2011). ISO/IEC 27006:2011.
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=59144,
Fevereiro de 2013.
MORAZ, E. (2006). Treinamento Profissional Anti-Hacker. 1. ed. So Paulo: Digerati Books.
PINHEIRO, P. P. (2010). Direito Digital. 4. ed. So Paulo: Saraiva.
Profissionais de TI. (2010). PDCA_SGSI.jpg. http://www.profissionaisti.com.br/wp-
content/uploads/2010/10/PDCA_SGSI.jpg, Janeiro de 2013.
RAMOS, A. (2008). Security Officer 1: guia oficial para formao de gestores em segurana da
informao. Mdulo Security Solutions 2.ed. Porto Alegre: Zouk.
SEBRAE-SC. (2013). Critrios de classificao de empresas: EI ME EPP. http://www.sebrae-
sc.com.br/leis/default.asp?vcdtexto=4154, Fevereiro de 2013.
The ISO 27000 Directory. (2013). A Short History of the ISO 27000 Standards.
http://www.27000.org/thepast.htm, Fevereiro de 2013.
WOOD, M. B. (1984). Introduo segurana do computador. Rio de Janeiro. Editora Campus.