CENTRO UNIVERSITARIO DA BAHIA FACULDADE DE CINCIAS EXATAS E TECNOLOGIA BACHARELADO EM SISTEMAS DE INFORMAO

Angelo Brando Miranda Santos

Poltica de Segurana da Informao Desenvolvimento de um modelo para a SINART

Salvador 2008 Angelo Brando Miranda Santos

Poltica de Segurana da Informao Desenvolvimento de um modelo para a SINART

Monografia apresentada ao Curso de Bacharelado em Sistema de Informao da Faculdade de Cincias Exatas e Tecnologia, Centro Universitrio da Bahia, como requisito parcial para obteno do grau de Bacharelado em Sistemas de Informao. Orientador: Prof. Marcondes Dourado

Salvador 2008
TERMO DE APROVAO

Angelo Brando Miranda Santos

Poltica de Segurana da Informao Desenvolvimento de um modelo para a SINART

Monografia aprovada como requisito parcial para obteno do grau de Bacharel em Sistemas de Informao, Centro Universitrio da Bahia, pela seguinte banca examinadora:

Orientador: Marconde Menezes de Souza Dourado Mestre em Modelagem Copmputacional Fundao Visconde de Cairu Centro Universitrio da Bahia Examinador 1: Roberto Luiz Souza Moteiro Mestre em Modelagem Copmputacional Fundao Visconde de Cairu Centro Universitrio da Bahia Examinador 2: Carlos Augusto Chagas Palma Mestre em Modelagem Copmputacional Fundao Visconde de Cairu Centro Universitrio da Bahia

Salvador, 10 de Dezembro de 2008

DEDICATRIA

Dedico este trabalho aos meus pais Raimundo Lisboa Santos e Maria das Graas Brando Miranda Santos que acreditaram no meu potencial. A minha noiva Michele Santos de Jesus que me fez acreditar e ser capaz.

AGRADECIMENTOS

Agradeo em especial a DEUS. Agradeo a meu orientado Marcondes Menezes de Souza Dourado.

RESUMO

A informao representa a inteligencia competitiva para as organizaoes e reconhecida como ativo critico para a continuidade do negcio, portanto necessita de uma ateno e proteo adequada. Esta proteo tem como finalidade conter certas vulnerabilidades que podem ameaar o andameto dos processos e at trazer prejuizos a organizao. O presente trabalho contm um modelo de politica segurana da informao elaborado com o objetivo de minimizar ou at elminar os riscos fornecidos por essas ameaas. A principio foi necessrio realizar um estudo com o objetivo de identificar os riscos e medir o grau de impacto destes nos processos de negcio da organizao, atravs da etapa de analise/avaliao de riscos. O material utilizado como referencia para o desenvolvimento deste modelo de politica de segurana da informao constituida pelas normas ABNT NBR ISSO/IEC 27001:2006 e ABNT NBR ISSO/IEC 17799:2005, em conjunto com outros acervos (livros, revistas e artigos). A organizao utilizada como estudo neste trabalho foi a SINART. Palavras-chaves: Informao, Segurana da Informao, Medidas de Segurana, Politica se Segurana.

LISTA DE FIGURAS

Figura 01 Grfico dos modelos de converso........................................................................................................19 Figura 02 O Processo de Transformao de Dados em Informao..................................................................20 Figura 03 Trade Grega...........................................................................................................................................23 Figura 04 Teoria do Conjunto aplicado a segurana. .........................................................................................26 Figura 05 Momentos do ciclo de vida da informao. .........................................................................................27 Figura 06 Problemas que geram perdas financeiras ...........................................................................................30 Figura 07 Estrutura de classificao das vulnerabilidades. ...............................................................................31 Figura 08 Como pea que se encaixam, ameaas especificas exploram vulnerabilidades compatveis. .......32 Figura 08 Riscos .......................................................................................................................................................32 Figura 09 Equao do risco ....................................................................................................................................33 Figura 10 Pontuao do risco mediante a relao da probabilidade com o impacto. .....................................38 Figura 11 Etapa da gesto de riscos. .....................................................................................................................39 Figura 12 Modelo PDCA aplicado aos processos de SGSI. ................................................................................40 Figura 13 Diretrizes, normas e procedimentos.....................................................................................................49 Figura 14 Organograma da SINART.....................................................................................................................57

LISTA DE QUADROS

Quadro 01 Riscos que ameaam os ativos da informao ................................................................................33 Quadro 02 Processo de gerenciamento de riscos ...............................................................................................36 Quadro 03 Significado das siglas do ciclo PDCA ...............................................................................................40 Quadro 04 Avaliao qualitativa dos riscos........................................................................................................65 Quadro 05 Matriz de ao dos riscos...................................................................................................................67

LISTA DE TABELAS

Tabela 01 Critrio de funo.................................................................................................................................46 Tabela 02 Classe de risco. .....................................................................................................................................47 Tabela 03 Anlise Quantitativa dos Riscos..........................................................................................................66

LISTA DE SIGLAS

10

ABNT ALE CD CPD DDoS DVD IEC IS0 NBR PDCA PMBOK SGSI SWOT SINART TI

Associao Bahiana de Normas Tcnicas Annual Loss Expectations Compact Disc Centro de Processamento de Dados Distributed Denial of Service Digital Versatile Disc International Eletrotechnical Comission International Organization for Standardization Norma Brasileira Plan, Do, Check and Act Project Management Body of Knowledge Sistema de Gesto da Informao Strengths, Weaknesses, Opportunities and Theats Sociedade Nacional de Apoio Rodovirio e Turstico Tecnologia da Informao

SUMRIO

11

Introduo...................................................................................................................................................................12 1 A Informao. .........................................................................................................................................................15 1.1 Histria da Informao. ...........................................................................................................................16 1.2 A Importncia e o Valor da Informao para as Organizaes................................................................17 1.3 Processo de Transformao da Informao..............................................................................................18 1.4 A Informao como um Ativo..................................................................................................................20 2 Segurana da Informao.......................................................................................................................................21 2.1 Princpios da Segurana da Informao...................................................................................................24 2.2 Segurana no Ciclo de Vida da Informao. ...........................................................................................26 2.3 Classificaes da Informao...................................................................................................................28 2.4 Ameaas X Vulnerabilidades ..................................................................................................................29 2.5 Riscos e Medidas de Segurana................................................................................................................32 2.5.1 Anlise / Avaliao dos Riscos de Segurana da Informao......................................................33 2.5.2 Seleo de Controles (Medidas de Segurana)..............................................................................43 2.5.3 Metodologia de Analise / Avaliao do Risco...............................................................................44 2.6 Segurana Fisica.......................................................................................................................................47 3 Poltica de Segurana..............................................................................................................................................48 3.1 Diretrizes, Normas e Procedimentos .......................................................................................................49 3.2 Elaborao da Poltica da Segurana........................................................................................................50 3.2.1 Exigncias Bsicas ........................................................................................................................50 3.2.2 Etapas de produo da poltica......................................................................................................52 3.3 Politica de Segurana Fisica.....................................................................................................................52 3.4 Autenticao e Segurana de Rede ..........................................................................................................54 3.5 Politica de Segurana para Internet..........................................................................................................55 3.6 Politica de Segurana para E-mail............................................................................................................55 3.7 Virus.........................................................................................................................................................55 4 Modelo de Poltica de Segurana da Informao................................................................................................56 4.1 Descrio do Ambiente da SINART........................................................................................................56 4.1.1 Setor de Informtica.......................................................................................................................58

12
4.1.2 Setor de RH/Qualidade..................................................................................................................59 4.1.3 Setor Contabilidade........................................................................................................................59 4.1.4 Setor Planejamento.......................................................................................................................60 4.1.5 Setor Financeiro.............................................................................................................................60 4.1.6 Setor Comercial.............................................................................................................................61 4.1.7 Setor de Suprimento.......................................................................................................................61 4.1.8 Setor Tcnico.................................................................................................................................62 4.1.9 Setor Operao...............................................................................................................................62 4.2 Anlise /Avaliao de Riscos...................................................................................................................62 4.2.1 Identificao dos Riscos................................................................................................................64 4.2.2 Qualificao dos Riscos.................................................................................................................65 4.2.3 Quantificao dos Riscos...............................................................................................................66 4.2.4 Matriz de Ao dos Riscos identificados.......................................................................................67 4.2.5 Elaborao do Modelo da Politica de Segurana da Informao para a SINART. ......................68 CONSIDERAES...................................................................................................................................................69 Referencias..................................................................................................................................................................70 Apndice A..................................................................................................................................................................76 Apndice B..................................................................................................................................................................78 Apndice C..................................................................................................................................................................79 Apndice D..................................................................................................................................................................81 Apndice E..................................................................................................................................................................84

INTRODUO

Atualmente a informao o ativo mais importante e valioso das organizaes. Sendo assim precisa de uma ateno redobrada e uma proteo adequada. Quando o termo informao citado em uma organizao, o aspecto de confidencialidade, disponibilidade e integridade devem ser observados. Sendo assim, os agentes participantes de todos os processos de uma organizao ento diretamente relacionados preservao desses aspectos.

13 Ao longo do tempo percebe-se o quanto s empresas sofrem para manter a sua base de informao segura, pois a cada dia aumenta mais as ameaas: insero de cdigo malicioso, fraudes eletrnicas, sabotagem, hacker, vandalismo, espionagem, etc. So muitas as formas existentes hoje utilizadas para invadir e obter informaes alheias. Muitas organizaes encontram-se vulnerveis por no proteger seus ativos de informao das ameaas. Estas vulnerabilidades so exploradas pelas ameaas que muitas das vezes podem resultar em prejuzos para as organizaes. Diante deste cenrio a segurana da informao visa resguardar as organizaes das ameaas para assegurar a continuidade do negcio. Esta segurana obtida a partir do desenvolvimento de uma poltica de segurana. Outros controles como prticas, procedimentos e diretrizes tambm precisam ser estabelecidos para que os objetivos de segurana da organizao sejam atendidos. A poltica de segurana a base para todas as questes relacionadas proteo da informao, desempenhando um papel muito importante em todas as organizaes. Atualmente muitas organizaes tem dificuldade em entender a importncia de implementar uma poltica de segurana da informao. Muitas dessas organizaes s comeam a pensar em implementar uma poltica de segurana como medida de segurana aps terem passado por algum tipo de incidente de segurana, que lhe tenha causado algum prejuzo. A poltica de segurana da informao de uma organizao um documento padronizado que determina princpios de conduta sobre o aspecto de segurana. Seu objetivo normatizar as prticas e procedimentos de segurana da empresa. Isso significa que deve ser simples, objetiva, de fcil compreenso e aplicao. Este documento tambm deve ser bem divulgado dentro da organizao para que seus agentes participantes conheam bem suas atribuies. Diante deste contexto, o presente trabalho tem como objetivo elaborar um modelo de poltica de segurana da informao como proposta para a SINART, com a tarefa de manter seu ativos protegidos das diversas ameaas que venha a surgir, minimizando as suas vulnerabilidade e viabilizando os seus processos organizacionais. O material utilizado como referencia para o desenvolvimento deste modelo de politica de segurana da informao constituido pelas normas ABNT NBR ISSO/IEC 27001:2006 e

14 ABNT NBR ISSO/IEC 17799:2005, em conjunto com outros acervos (livros, revistas e artigos) relevantes que tratam de segurana da informao. O presente trabalho est distribuido em 04 (quatro) capitulos. O primeiro capitulo descreve a histria da informao, o seu processo de transformao como tambm a sua importncia e valor para a continuitade dos negcios entre as organizaes. O conhecimento agregado de cada individuo a base para o desenvolvimento do produto final das organizaes: a informao. Este conhecimento corresponde a um processo de transformao que resulta em ativos importante para a organizao. Tambm neste capitulo feito uma descrio sobre a informao como uma ativo. O segundo capitulo aborda os principios de segurana da informao nas organizaes. Todas as organizaes tem como comprometimento e obrigatoriedade de preservar os seus ativos contra ameaas que explorem vulnerabilidades. Este capitulo tambm descreve sobre a segurana no ciclo de vida da informao, descreve a relao entre ameaca e vulnerabilidade, aborda sobre risco e medida se segurana aprofudando bastante no que diz respeito a anlise / avaliao dos riscos de segurana da informao, seleo de controles e metodologia de analise / avaliao do risco. Tambm neste capitulo ser abordado sobre seguraa fsica. O terceiro capitulo trata de poltica de segurana, de modo a abranger conceitos sobre poltica de segurana, seu planejamento, definio e implementao. Este capitulo descreve os princpios e prticas de se garantir um nvel de proteo adequado dos ativos da organizao atravs da adoo da poltica de segurana da informao. A implementao do documento da politica, contendo as normas, procedimentos e diretrizes vinculados aos principios de segurana, nas organizaes, tende a garantir a proteo o controle e o monitoramento dos seus ativos. O quarto capitulo esboa o desenvolvimento de um conjunto de passos aceitveis para elaborar o modelo de poltica de segurana da informao como proposta para a SINART, como tambm a descrio do ambiente e anlise/avaliao dos riscos (identificao, qualificao, quantificao e matriz de ao dos riscos). O modelo de poltica de segurana desenvolvido

15 neste trabalho procura definir regras, que possa ser seguido como um padro de utilizao dos diversos recursos que envolvem a segurana da informao na SINART. Alem destes capitulos, tambm est contido neste trabalho a descrio de algumas consideraes referentes elaborao do modelo de politica de segurana da informao como proposta para a SINART.

1 A INFORMAO.

16 Simes (1993 apud COUTINHO, 2006, p. 2) define a palavra informao, do latim inforamare, como, forma dada a aparncia, por em forma, formar, criar, representar, criar uma idia ou noo. Para o autor a palavra quando usada pelo humano comum implica conhecimento de um fato, a certeza de alguma coisa, mas quando utilizada nos meios de comunicao seu significado est correlacionado quantidade de novidades encontradas no corpo de uma mensagem. Informao: Ato ou efeito de informar ou informar-se; comunicao, indagao ou devassa. Conjunto de conhecimento sobre algum ou alguma coisa; conhecimentos obtidos por algum. Fato ou acontecimento que levado ao conhecimento de algum ou de um pblico atravs de palavras, sons ou imagens. Elemento de conhecimento suscetvel de ser transmitido e conversado graas a um suporte e um cdigo. (PEIXOTO, 2006, p. 37) J SETZER (2001) caracteriza informao como uma abstrao informal, ou seja, que no pode ser formalizada atravs de uma teoria lgica ou matemtica. Essa informao a qual se refere aquela que est na mente de um indivduo, representando algo significativo para essa pessoa. Por exemplo, a frase "Rio de Janeiro uma cidade maravilhosa" um exemplo de informao desde que seja lida ou ouvida por algum, desde que "Rio de Janeiro" signifique para essa pessoa o estado do Brasil e "maravilhosa" tenha a qualidade usual e intuitiva associada com essa palavra.

1.1 Histria da Informao.

Desde os tempos primitivos o ato de se comunicar, por mais arcaico que fosse, era um meio de transmitir informao (PEIXOTO, 2006, p. 01). Cerca de 2000 anos antes de Cristo, o homem j sentia necessidade de transmitir e propagar a informao, sendo naquela poca, a pinturas nas pedras o primeiro meio utilizado pelo homem para expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita na Sumria. A partir da vrias civilizaes desenvolveram seus prprios mtodos de registro e transmisso da informao, dentre eles podemos destacar: Os hierglifos e o papiro no antigo Egito, em 3000 AC; O baco dos babilnios, 1800 AC; Os primitivos livros chineses de bambu ou madeira presos por cordas datados de 1300 anos AC;

17 O processo chins de fabricao de papel, de 105 DC alcanando Bagd em 753 DC; A fotografia de 1826; O telgrafo eletromagntico de Samuel Morse, em 1837; As primeiras transmisses de rdio em broadcast em 1917; O primeiro computador digital em 1943.

Todo este processo milenar nos levou at as modernas tecnologias de transmisso e armazenamento digital de dados no sculo 20 (NUNBERG, 2002). O primeiro exemplo da necessidade da transmisso da informao armazenada aconteceu no ano 600 da era crist, onde o rei Assurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo sobrevive at os dias atuais com cerca de 20000 placas. (NUNBERG, 2002). Durante dcadas a impresso foi a principal tecnologia intelectual de armazenamento e disseminao das idias, mas o homem no satisfeito comeou a indagar outras formas de comunicao que aproximassem mais facilmente de outras culturas e divulgassem o saber produzido com maior rapidez e amplitude (MCLUHAN, 1995 apud SILVA, 2005, p.5). O rdio e logo aps a televiso foram inverses que tiveram marco especial na histria. A informao, alm de ser falada pde ser lida, vista e interpretada pelo receptor. Com a evoluo dos meios de comunicao, no final do sculo XX, surge uma tecnologia mais eficaz, que oferece todas as possibilidades j exploradas na imprensa, no rdio, na televiso, operando uma ultrapassagem: a possibilidade de interao e a velocidade com que tudo ocorre. Tecnologia essa denominada computador, que pode esta conectada a outros formando uma rede conhecida como internet (SILVA, 2005. p.5).

1.2 A Importncia e o Valor da Informao para as Organizaes.

A informao a fonte de energia da organizao: seu combustvel o mais importante recurso ou insumo. A informao direciona todos os esforos e aponta os rumos a seguir (CHIAVENATO, 2003, P.452 apud SANTOS, 2007, p.14), sendo assim [...] no momento em que as organizaes atribuem maior valor a ela, tendem a criar mais processos formais em suas administraes. (DAVENPORT, 1994 apud COUTINHO, 2006, p. 3).

18 Analisando as avaliaes feitas por CHIAVENATO e COUTINHO, por a informao ser o meio para o processo de criao do conhecimento necessrio que a mesma seja conduzida por um instrumento de comunicao dentro do ambiente organizacional. Sendo assim, o uso da tecnologia da informao tem tido um sentido muito extenso para as organizaes onde a competitividade entre elas ditada pela velocidade, qualidade e eficincia das decises, implementaes ou das comunicaes para que possam inovar tanto na criao e desenvolvimento de produtos quanto para o estabelecimento de novos canais de comunicao entre com os clientes. (NAKAMURA e GEUS, 2007, p. 35) No se pode negar que as empresas, independentes de seu tamanho ou negocio, aproveitam-se da informao como estratgia para aumentar a produtividade, reduzir os custos, resultados rpidos nas tomadas de deciso e na competitividade entre outras empresas (SMOLA, 2003, p.1). Uma organizao no sobrevive em um mercado de grande competitividade se no fizer o uso eficiente da tecnologia da informao como elemento de progresso e desenvolvimento de novas oportunidades para a expanso dos negcios. Como o exemplo da rede Ponto Frio, Brasil, que conseguiu em 2002, atravs de sua loja virtual, que envolve o site na internet e o telemarketing, vender mais do que as outras 350 lojas da rede. (NAKAMURA e GEUS, 2007, p. 35-36)

1.3 Processo de Transformao da Informao.

Segundo FLEURY (2001), a informao criada depende de um vinculo definido e dos dados disponveis. Acrescentar dados novos ou diferentes implica que novas informaes podem ser geradas. Exemplificando, um mdico utiliza os dados de um ou mais exame para gerar informaes sobre o estado de sade do paciente, se o mesmo possui alguma doena, poder ento tomar certas medias como receitar uma medicao. SETZER (2001) define os dados como uma seqncia de smbolos quantificados ou quantificveis, ou seja, um texto um dado. Por exemplo: as letras do alfabeto so smbolos quantitativos, e por ser um conjunto finito, pode por si s constituir uma base numrica. Outros exemplos de dados so as figuras, sons gravados e animao, pois todos podem ser quantificados a ponto de se ter eventualmente dificuldade de distinguir a sua reproduo, a partir da representao quantificada, com o original

19 Para que ocorra a transformao dos dados em informao necessrio que os dados passem por um conjunto lgico de tarefas com que possa atingir um modelo definido. Para executar esse processo necessrio obter a compreenso de um conjunto de informao e saber como estas podem ser teis para uma tarefa especifica. A base da compreenso para execuo deste processo denominado conhecimento, quanto maior o conhecimento para a transformao dos dados, melhor ser o produto final conforme demonstrado na Figura 02. REYNOLDS, 2000, p.5) Conforme NONAKA e TAKEUCHI (1997, p.5), numa economia onde a competitividade entre organizaes cada vez mais acirrada, o conhecimento a ferramenta de grande importncia, pois atravs do conhecimento que os gestores, diretores, executivos possuem a habilidade para gerenciar e identificar, avaliar e solucionar novos problemas no mbito organizacional. O conhecimento ao quais os gestores, diretores e executivos, membros de uma organizao, utilizam com a finalidade de produzir novos conhecimentos e vantagens competitivas para as organizao pode ser definida como conhecimento organizacional (JNIOR, 1997). O conhecimento organizacional criado envolvendo dois tipos de conhecimento, explicito (formal e fcil de ser compreendido e transmitido) e tcito (conjunto de valores, idias, emoes e experincias contidas em um individuo, conseqentemente difcil de ser transmitido e formalizado), onde as relaes entre esses dois tipos so mais importantes que o conhecimento em si e faz com que as organizaes obtenham uma vantagem competitiva. (NONAKA e TAKEUCHI, 1995 apud JUNIOR, 1997). Ver Figura 01. (STAIR e

Figura 01 Grfico dos modelos de converso. Fonte: FROTA e PANTOJA, 2004

20 Como observado na Figura 01, a Socializao a converso do conhecimento tcito em conhecimento tcito, ou seja, um processo de compartilhamento de experincias e, a partir da, da criao do conhecimento tcito, um indivduo pode adquirir conhecimento tcito diretamente de outros indivduos, sem usar a linguagem. A Externalizao a converso do conhecimento tcito em conhecimento explicito podendo ser definido tambm como um processo de criao do conhecimento perfeito. A Internalizao a converso do conhecimento explicito em conhecimento tcito, est intimamente relacionada ao aprender fazendo. A Combinao a converso do conhecimento explicito em conhecimento explicito, envolve a combinao de conjuntos diferentes de conhecimento explcito, os indivduos trocam e combinam conhecimentos atravs de meios como documentos, reunies ou conversas ao telefone ou pela internet. (FROTA e PANTOJA, 2004) Segundo Sianes (2005, p. 259) a informao conceituada como uma srie de dados organizados de um modo significativo, analisados e processados, que geram hipteses, sugere solues, justificativas de sugestes, criticas de argumentos, utilizada em apoio ao processo de tomada de deciso. Os dados ao qual Sianes (2005, p. 259) se refere, so os dados geridos no mbito da organizao, dados esses de tamanha importncia e que devem ser mantidos em segurana e manipulados conforme uma poltica de segurana. A Figura 02 demonstra o processo de transformao dos dados em informaes:

Figura 02 O Processo de Transformao de Dados em Informao. Fonte: STAIR e REYNOLDS, 2000

1.4 A Informao como um Ativo

Para as empresas no mbito dos negcios a informao representa a inteligncia competitiva e reconhecida como ativo critico para a continuidade operacional. (SMOLA, 2003, p. 39)

21 Conforme a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.ix), [...] a informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Smola (2003, p.45) conceitua ativo como todo elemento que compe os processos que manipulam e processam a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. O termo ativo possui esta denominao, oriunda da rea financeira, por ser considerado um elemento de valor para um indivduo ou organizao [...] (ABNT NBR IS0/IEC, 2005, p.1) e, [...] como conseqncias precisam receber uma proteo adequada para que seus negcios no sejam prejudicados. Na viso de segurana da informao, so trs os elementos que compem o que chamamos de ativos e que devem ser protegidos: as informaes; os equipamentos e sistemas que oferecem suporte a elas; as pessoas que as utilizam. (FONSECA, 2006a, p. 34) Para tanto, no contexto de gerir a segurana da informao, PEIXOTO (2006, p. 37) frisa que se deve levar em conta que os ativos tm que ser encarados detalhadamente como ponto importante para o efetivo sucesso de administrar por onde passa, com quem passa e at onde chega essa informao.

2 SEGURANA DA INFORMAO.

22 O ser humano sempre se preocupou com a sua segurana e de seus bens, isto faz parte de seus instintos. Como nos dias atuais, o maior bem que a humanidade possui so as informaes e conhecimentos gerados por ela, sendo assim huve a necessidade do desenvolvimento de mtodos e tcnicas que permitissem a sua proteo (GONALVES, 2004). Segundo Alves (2006, p. 01): a segurana tem estado presente em diversos cenrios, desde a elaborao de um simples contrato para assegurar um automvel at a implementao de controles de segurana para colocar um sistema bancrio no ar. Smola (2003, p. 43) define segurana da informao como uma rea do conhecimento dedicado proteo de ativos da informao contra acessos no autorizados, atuaes indevidas ou suas indisponibilidades. De forma mais ampla, Smola (2003, p. 43) tambm considera a segurana da informao como a prtica de gesto de riscos de incidentes que impliquem no comprometimento dos trs principais conceitos de segurana: confidencialidade, integridade, disponibilidade. Silva (2005, p.9) define incidente de segurana como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de computador ou de redes de computadores. So exemplos de incidentes de segurana: Tentativas de acesso no autorizados a sistema ou dados; Ataque de negao de servio (Distributed Denial of Service (DDoS)) constitui um ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet). Uso ou acesso no autorizado a sistemas; Modificaes em sistema, sem o conhecimento, instrues ou consentimento prvio do dono do sistema; Desrespeito poltica de segurana ou poltica de aceitvel de uma empresa.

Conforme a ABNT NBR IS0/IEC 17799:2005 (2005, p.ix), a segurana da informao vem se tornando cada vez mais importante dentro de uma empresa ou organizao em razo do aumento das ameaas. Fraudes eletrnicas, insero de cdigos maliciosos, sabotagem, vandalismo, hacker, espionagem e ataques de negao de servio esto se tornando cada vez mais sofisticados e difceis de serem detectados e neutralizados.

23 Conforme Wadlow (2000, p.4 apud FIGUEIREDO, 2008, p.20-21) e como demonstrado na Figura 03, segurana semelhante trade da antiguidade em muito dos seus aspectos.

Figura 03 Trade Grega. Fonte: WADLOW, 2000 apud FIGUEIREDO, 2008, p.21

Como observado na Figura 03, a analise corresponde ao desenvolvimento de uma avaliao dos problemas de um determinado cenrio, ou seja, ser analisado e avaliado com o intuito de criar uma soluo para o problema, considerando que o problema esta relacionado segurana da informao. A sntese corresponde composio de uma soluo para consolidar o processo de analise, ou seja, de grande valia nesse momento a elaborao de uma soluo para resoluo do problema. E a avaliao o memento onde a soluo do problema desenvolvido no processo de sntese avaliada, com a finalidade de conferir em quais medidas ou decises no foram aceitveis para a implantao do processo de segurana. Quando feito anlise da segurana de informao em uma empresa, constatado um cenrio cheio de ameaas que precisam ser administradas para evitar eventuais problemas ao negcio da empresa. (SMOLA, 2003, p.7). Alguns fatores que fazem com que ocorra um cenrio cheio de ameaas: Crescimento da conectividade da empresa: a necessidade de integrao das empresas e filiais; Crescimento do compartilhamento de informaes, ou seja, cada vez mais comum o transito de informaes tanto interno quanto externo entre empregados, clientes, fornecedores e governo;

24 Baixo nvel de identificao do usurio no acesso gratuito a internet, ou seja, os provedores de internet gratuitos pouco garantem as informaes do usurio que est conectado; Crescimento da digitalizao das informaes, ou seja, maior utilizao de meios eletrnicos para o armazenamento das informaes; Crescimento das relaes eletrnicas entre empresas, ou seja, a comunicao entre empresas, clientes e fornecedores, por meio eletrnico; Acesso a conexo internet banda larga, ou seja, os custos desse tipo de conexo esto cada vez menores, permitindo um maior numero de computadores conectados; Alto compartilhamento de tcnicas de ataques e invaso, ou seja, as vulnerabilidades dos sistemas so mais rapidamente divulgadas pela internet, permitindo que os invasores possam compartilhar suas experincias; Disponibilidade de ferramentas de ataque e invaso, ou seja, essas ferramentas esto disponveis na internet e qualquer pessoa pode utiliz-las; Diversificao dos perfis de ameaa, ou seja, concorrente, sabotador, especulador, adolescente, hacker e funcionrios insatisfeitos. Segundo a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.ix), a segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. Tal proteo citada pela norma ABNT NBR IS0/IEC 17799:2005 (2005, p p.ix), pode ser alcanada atravs de um conjunto de instrumentos que englobam polticas, processos, estruturas organizacionais, software e hardware, em conjunto com outros projetos de negcio.

2.1 Princpios da Segurana da Informao

Conforme descrio feita pela Norma ISO/IEC 17799, a proteo da informao caracterizada pela preservao de alguns princpios considerados crticos para o estabelecimento de padres de segurana: (ALVES, 2006, p.2).

25 Os trs princpios bsicos da segurana da informao so: confidencialidade, integridade e disponibilidade. Conforme Fonseca (2006a, p.20) o princpio da confidencialidade da informao tem como objetivo garantir que apenas a pessoa correta tenha acesso informao. A tramitao das informaes deve contar com a segurana de que elas cheguem sem que se dissipem para outros meios ou lugares onde no deveriam passar. (PEIXOTO, 2006, p. 38). Fonseca (2006a, p.21) tambm explana que a confidencialidade um dos fatores determinantes para a segurana das tarefas mais difceis de implementar, pois envolve todos os elementos que fazem parte da comunicao da informao. Devido informao possuir diferentes graus de confidencialidades, quanto maior este grau, maior ser o nvel de segurana necessrio para aplicar na estrutura tecnolgica e humana que participa desse processo: uso, acesso, trnsito e armazenamento das informaes. Pelo princpio da integridade da informao Peixoto (2006, p. 39) cita que aps a informao ser enviadas e recebidas pelas pessoas corretas havendo confidencialidade da informao, devese esperar que essa informao no tenha sofrido nenhum tipo de alterao comprometendo sua veracidade. A informao deve ser mantida na mesma condio que foi disponibilizada pelo seu proprietrio, visando proteg-las contra alteraes indevidas, intencionadas ou acidentais. (SMOLA, 2003, p.45). Para que haja uma proteo da integridade de uma informao Fonseca (2006, p.19) esclarece que necessrio que todos os elementos que fazem parte da gesto da informao se conservem em suas condies originais definidas por seus responsveis e proprietrios. Segundo Peixoto (2006, p.39), de nada adianta ter a confidencialidade e integridade das informaes se as mesmas no estiverem disponveis para serem acessadas. Pelo principio da disponibilidade, conforme Fonseca (2006, p.23) a informao deve esta disponvel no momento em que se necessita dela. Para proteger a disponibilidade da informao Fonseca (2006, p.24) destaca as seguintes medidas:

26 Configurao segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicao estejam dispostos de forma adequada para assegurar o xito da leitura, do transito e do armazenamento; Cpia de segurana, permitindo que as informaes estejam guardadas em outro local para uso caso no seja possvel recuper-las a partir de seu local de origem. Segundo Alves (2006, p.2) para existir um nvel de segurana aceitvel, no necessrio a presena de todos os princpios da segurana da informao ao mesmo tempo, pode-se associar a combinao desses princpios Teoria dos Conjuntos, conforme Figura 04.

Figura 04 Teoria do Conjunto aplicado a segurana. Fonte: ALVES, 2006, p.2

Smola (2003, p.46) acrescenta mais dois princpios, considerados essenciais na prtica da segurana da informao: Autenticao, processo de identificao e reconhecimento formal da identidade dos elementos que entram em comunicao ou fazem parte de uma transao eletrnica que permite o acesso informao e seus ativos por meio de controles de identificao desses elementos. Exemplo: necessrio que o usurio para ter acesso rede tenha um usurio e senha criada pelo administrador da rede com devidas permisses de acesso. Legalidade, caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigentes.

2.2 Segurana no Ciclo de Vida da Informao.

27 A informao possui um ciclo de vida e conforme Smola (2003, p. 09): o ciclo de vida da informao composto e identificado pelos momentos vividos pela informao e que a colocam em risco. Como citado por Smola (2003, p. 09), os momentos que colocam as informaes em risco so vivenciados quando os ativos fsicos, tecnolgicos e humanos fazem uso da informao, sustentando processos que, por sua vez, mantm a operao da empresa e conforme essas informaes so expostas as diversas ameaas, os quatros momentos do ciclo de vida da informao so merecedores de ateno. Ver Figura 05.

Figura 05 Momentos do ciclo de vida da informao. Fonte: SMOLA, 2003, p.11

Como observado na Figura 05, o ciclo de vida da informao comea com o manuseio, nesse momento as informaes so criadas seja ao redigir em uma folhar de papel ou at mesmo ao folhear um livro. Logo aps a criao da informao a mesma pode ser armazenada, esse armazenamento pode ser feito em uma anotao de papel, dentro de uma gaveta ou em um banco de dados compartilhado. Seguindo a figura, a informao pode ser transportada, seja em um disquete, CD, DVD, em um computador porttil, ou at mesmo em um papel impresso dentro de um envelope e por fim o momento descarte, onde a informao descartada, seja ao depositar na lixeira da empresa em material impresso, seja ao eliminar um arquivo eletrnico, ou descartar um disquete ou CDe DVD que apresenta falha de leitura.

28 Smola (2003, p. 45) frisa que a informao pode est presente ou ser manipulada por inmeros elementos de processos (comunicativos ou transacionais), chamados ativos, os quais so alvos de proteo da segurana da informao.

2.3 Classificaes da Informao.

A classificao da informao tem como objetivo assegurar que a informao receba um nvel de proteo adequado. A informao deve ser classificada para indicar a necessidade, prioridade e nvel esperado da proteo quando do tratamento da informao sendo feita conforme o valor, requisitos legais, sensibilidade e criticidade da informao para a organizao (ABNT NBR IS0/IEC 17799, 2005, p.23). de grande importncia para as empresas classificar suas informaes para que possam saber o nvel de proteo que elas e seus ativos deveram possui, com isso tambm pde assegurar as informaes de maior importncia para o negcio da empresa, reduzindo ento os riscos de vazamento, sabotagem, acesso indevidas, perda de informao, alm de diminuir os riscos operacionais (SMOLA, 1999). Conforme Reis, Mota e Oliveira (2003, n. p.), a informao classificada levando em considerao os princpios da segurana da informao e tambm o valor que elas tm, portanto, dependendo do tipo de informao e do pblico para o qual se deseja colocar disposio a informao, define-se um grau de sigilo, que segundo Dias (2000, p.53) so: Confidencial, Secreta, Interna e Publica. As informaes confidenciais so aquelas que devem est restrita ao ambiente da empresa, sendo apenas acessadas de acordo com estrita necessidade. O acesso no autorizado a essas informaes pode causar danos financeiros ou perda de mercado para outra empresa concorrente. As informaes restritas ou secretas so aquelas informaes essncias para a empresa, sendo apenas acessadas por uma quantidade limitada de pessoas. O acesso interno ou externo por pessoas no autorizadas a essas informaes critico para a empresa. As informaes internas devem est sempre no mbito da empresa, se ocorrer o vazamento dessas informaes, pode denegrir a imagem da empresa ou causar prejuzos indiretos.

29 As informaes pblicas podem ser divulgadas para o publico em geral, includo clientes, fornecedores. Essas informaes no possuem nenhuma restrio no que diz respeito divulgao. Para tanto, conforme Ramos (2006), a classificao uma enrgica ferramenta para assegurar a informao, pois atravs da identificao, classificao e rotulagem, podem-se aplicar diferentes mtodos de proteo evitando que ocorram vulnerabilidades que venha a trazer ameaas ao negcio da organizao.

2.4 Ameaas X Vulnerabilidades

Smola (2003, p. 47) conceitua ameaa como os agentes ou condies que causam incidentes que comprometem as informaes e seus ativos. As ameaas ocorrem em muitas das vezes por causa das vulnerabilidades existentes, provocando assim perdas de confidencialidade, integridade e disponibilidade. (PEIXOTO, 2006, p.43) As ameaas esto divididas em trs grupos (FONSECA, 2006a, p. 45): Ameaas naturais: condies da natureza e a intemprie que podero provocar danos nos ativos, tais como fogo, inundaes, terremotos; Intencionais: so ameaas deliberadas, fraudes vandalismo, sabotagens, espionagens, invases e furtos de informaes; Involuntrias: so ameaas resultantes de aes inconscientes de usurios, por vrus eletrnicos, muitas vezes causados pela falta de conhecimento no uso dos ativos, tais como erros e acidentes. Ainda segundo Fonseca (2006, p. 45) devido importncia estratgica que vem conquistando as tecnologias da informao, os prejuzos com as ameaas intencionais provocam a cada ano um impacto nos negcios das empresas. Conforme resultado da dcima pesquisa nacional de segurana da informao elaborada pela Mdulo (2006) com cerca de 600 profissionais atuantes nas reas de segurana e tecnologia de informaes de organizaes privadas, publicas e de economia mista em diversos setores do mercado, constatou-se que essas empresas descobrem que a maioria das falhas de segurana causada por funcionrios (24%) e hackers (20%) e que problemas como vrus (15%), spam

30 (10%) e fraudes (8%) so os que mais causam danos financeiros como demonstrado na Figura 06.

Figura 06 Problemas que geram perdas financeiras Fonte: MODULO, 2006, p. 6

A Figura 06 deixa bem clara as ameaas que podem trazer danos financeiros as organizaes, estando em primeiro lugar os vrus com 15%. Sendo que essas ameaas passam a existir nas organizaes para consolidar uma ao investida em certas vulnerabilidades. Smola (2003, p. 47) define vulnerabilidade como fragilidade presente nos ativos que manipulam e/ou processa informao que, ao ser explorado permite a ocorrncia de um incidente de segurana, afetando a confidencialidade, a disponibilidade e a integridade das informaes de uma empresa ou indivduos. Para Fonseca (2006a, p.47) importante conhecer a estrutura de como se classificam as vulnerabilidades que podem fazer com que as ameaas causem impactos nas informaes comprometendo os princpios da segurana da informao. O autor demonstra essa estrutura de classificao das vulnerabilidades na figura 07.

31 Alves (2006, p.4) define impacto como: Resultado de um incidente de segurana, que poder acarretar perdas ou danos pequenos, mdios ou grandes.

Figura 07 Estrutura de classificao das vulnerabilidades. Fonte: FONSECA, 2006, p.47

Peixoto (2006, p.43-44) descreve os tipos de vulnerabilidades: Fsicas: salas de CPD mal projetadas, estruturas de segurana fora dos padres exigidos; Naturais: computadores so propensos a sofrerem danos naturais, como tempestades, incndios, alm, por exemplo, de falta de energia, acmulo de poeira, aumento da umidade e temperatura; Hardware: desgaste do equipamento, obsolescncia ou m utilizao; Software: m instalao, erros de configurao, vazamento de informaes e, dependendo do caso, perda de dano ou indisponibilidade de recursos; Mdia: disquetes e CDs podem ser perdidos ou danificados, e a radiao eletromagntica pode causar danos s vezes irreparveis nas mdias; Comunicao: acessos no autorizados ou perda de comunicao; Humanas: falta de treinamento, conscientizao, o no seguimento da poltica de segurana. Observando a Figura 08 percebe-se a relao entre as ameaas e vulnerabilidades, ficando bem claro o grau de associao entre os dois. Se uma organizao no se preocupar em tomar certas

32 prevenes para corrigir as falhas de segurana que acarretaram vulnerabilidades, conseqentemente iro aparecer ameaas para explor-las, semelhante a peas de um quebra cabea, onde cada uma se encaixa na outra.

Figura 08 Como pea que se encaixam, ameaas especificas exploram vulnerabilidades compatveis. Fonte: SMOLA, 2003, p.19

2.5 Riscos e Medidas de Segurana.

Fonseca (2006a, p.58) define: risco uma equao que leva em conta os prejuzos para a gesto do negcio e qual a freqncia para a ocorrncia das ameaas. Conforme demonstrado na Figura 08.

Figura 08 Riscos Fonte: FONSECA, 2006, p. 58

O risco de segurana sempre tender a zero (PEIXOTO, 2006, p.48). A Figura 09 demonstra uma formula que esboa bem o que seria esse risco de segurana tendendo a zero (SMOLA, 2003, p.56 apud PEIXOTO, 2006, p.48).

33

Figura 09 Equao do risco Fonte: PEIXOTO, 2006, p.48

A existncia da insegurana fato e a inexistncia da segurana preocupante (PEIXOTO, 2006, p.48). As empresas esto vulnerveis a qualquer tipo de ameaa, est em constante risco e segundo Alves (2006, p.4) a avaliao dos riscos permite a identificao das ameaas dos ativos, as vulnerabilidades e a sua probabilidade de ocorrncia, alem de seus impactos sobre a organizao. A tabela 01 demonstra os diversos campos de riscos e as ameaas associadas a esses campos de riscos:
Quadro 01 Riscos que ameaam os ativos da informao

Campo de Riscos Dados / meio de armazenamento Hardware Infra estrutura tcnica Local / edifcio Redes de comunicao Software

Ameaas Falhas de controle, backups insuficientes / inadequados, desmagnetizao, falhas no transporte, falhas no armazenamento. Oscilao de energia, falhas de climatizao, instalao inadequadas, danos fsicos. Insuficincia de equipamentos, falhas tcnicas, oscilao eltrica, falta de energia / gua / combustvel. Fogo, raios, gua, furtos/roubo, espionagem, terrorismo/sabotagem. Sabotagem, espionagem, modificao, fraudes, queda/interrupo. Furto, alterao indevidas, vrus, falta de controle de acesso.

Fonte: CARUSO e STEFFEN, 1999, p. 66

Sabendo os riscos identifica-se a melhor medida a ser aplicada e essas medidas segundo Fonseca (2006a, p.60): so um conjunto de prtica que, quando integradas, constituem uma soluo global e eficaz da segurana da informao.

2.5.1 Anlise / Avaliao dos Riscos de Segurana da Informao.

A cada dia que se passa aumenta cada vez mais a quantidade de incidentes relacionados com a segurana dos sistemas, que vem a prejudicar os ativos das organizaes. Para que as

34 organizaes possam implementar um sistema de segurana para suavizar ou evitar os incidente necessrio analisar e avaliar os riscos, para tanto, muito importante que antes de elaborar e implementar qualquer medida de segurana deve-se conhecer com detalhes o ambiente que oferece suporte aos processos de negcio da organizao (FONSECA, 2006b, p.7). Segundo a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.6), a anlise e avaliao dos riscos nas organizaes devem ser realizadas periodicamente, assim podem-se observar eventuais mudanas nos requisitos de segurana da informao e na situao de riscos, tambm devem possuir um escopo claramente definido para ser eficaz. Esses escopos podem ser tanto em toda ou parte da organizao, em um sistema de informao especifico ou em componentes especifico deste ou outro sistema, ou tambm em servios onde isto seja executvel, realstico e proveitoso. Conforme Fonseca (2006b, p.7), Martins (2003, p.275) e Prado (2001), o processo de analise de riscos no est fundamentado apenas na identificao dos riscos, ou seja, vulnerabilidades que os ativos esto expostos, mas sim em um conjunto de atividades que sero necessrias para a elaborao de uma anlise dos riscos nas organizaes, como levantamento dos ativos, definio de uma lista de ameaas e identificao das vulnerabilidades nos ativos, levando em considerao a relao ameaa vulnerabilidade - impacto. Atividades essas que tem como resultado: identificar os passos que devem ser seguidos para corrigir as vulnerabilidades encontradas, a elaborao de estratgias para proteo dos ativos das ameaas relacionadas, identificar os impactos potenciais que poderiam ter os incidentes e por fim determinar as recomendaes para que as ameaas sejam reduzidas ou corrigidas. A anlise dos riscos ao mesmo tempo envolve o processo de avaliar os riscos atravs da coleta de dados histricos, analise tericos como valores atribudos probabilidade e as conseqncias de um risco, que servem de apoio, tratamento e acesso do risco. O processo de tratamento dos riscos envolve a adoo e elaborao de medidas que possa reduzir ou eliminar o risco, j o processo de acesso envolve uma deciso de aceitar ou no os riscos por partes dos gestores responsveis (BEAL, 2005, p.12). Segundo Prado (2001), existe dois modelos para a anlise dos riscos: Modelo quantitativo, ao qual est incluso o processo de estimar os riscos por ser baseado em estatsticas e;

35 Modelo qualitativo, que envolve a participao de especialistas da rea de segurana de riscos, ao qual possuem grande conhecimento sobre o assunto. O modelo qualitativo considerado o mais utilizado nas organizaes por ser mais rpido como metodologia para o processo de analise dos riscos. Quanto mais claro o desenvolvimento dos processos envolvido na organizao, mas preciso ser a anlise de riscos. Processos esses, que alm de envolver mltiplas tecnologias, tambm envolvem os controles fsicos, processos de negcio e operacionais, cultura dos funcionrios entre outros. Por esta em constante mudana os ativos fsicos e lgicos precisam de novos mecanismos de proteo. Ento, um processo de analise de risco bem desenvolvido fator essencial para o sucesso na elaborao da poltica de segurana (MARTINS, 2003, p.276). Conforme Beal (2005, p.12) a avaliao de riscos envolve um processo de comparao da estimao do risco com determinado critrio de risco (normas e diretrizes contidas numa poltica de segurana da informao) determinado pela organizao, objetivando obter o seu valor. Podendo assim identificar, quantificar e priorizar os riscos, se fundamentado em critrios de aceitao dos riscos e nos objetivos importantes para o negcio da organizao. Levando em considerao tal cenrio, os gestores responsveis tm capacidade de determinar as aes e etapas de gerenciamento de riscos, assim como tambm selecionar e elaborar os controles de segurana adequados para garantir que os riscos sejam eliminados ou reduzidos a um nvel admissvel. Para Laureano (2004, n.p.), o gerenciamento de riscos o processo de identificar, controlar os eventos duvidosos, eliminando ou minimizando os que podem afetar os negcios da organizao. Uma das ferramentas mais eficaz no gerenciamento dos riscos o conhecimento. O gerenciamento de riscos tambm indica os caminhos e as informaes que devem ser protegidas. Segundo o PMBOK (2004, p.237), o gerenciamento de riscos tem como objetivo diminuir a probabilidade e o impacto dos eventos negativos, ou seja, permite que os riscos sejam controlados, minimizando a imprevisibilidade de um impacto que cause srios prejuzos aos ativos da organizao.

36 O quadro 02 em conformidade como o PMBOK (2004, p.237) demonstra os pontos que esto incluso no processo de gerenciamento de riscos.
Quadro 02 Processo de gerenciamento de riscos

Processos Planejamento do gerenciamento de riscos Identificao de riscos Anlise qualitativa de riscos Anlise quantitativa de riscos Planejamento de respostas a riscos Monitoramento e controle de riscos

Descrio Deciso de como abordar, planejar e executar as atividades de gerenciamento de riscos. Determinao dos riscos que podem afetar o projeto e documentao de suas caractersticas. Priorizao dos riscos para anlise ou ao adicional subseqente atravs de avaliao e combinao de sua probabilidade de ocorrncia e impacto. Anlise numrica do efeito dos riscos identificados nos objetivos gerais do projeto. Desenvolvimento de opes e aes para aumentar as oportunidades e reduzir as ameaas aos objetivos do projeto. Acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificao dos novos riscos, execuo de planos de respostas a riscos e avaliao da sua eficcia durante todo o ciclo de vida do projeto.

Fonte: PMBOK, 2004, p.237. Adaptado pelo autor.

Outro objetivo do gerenciamento de riscos segundo SOOMERVILE (2003, p.72) permitir que os ativos organizacionais no sejam surpreendidos por riscos imprevisveis. O pior risco aquele que no identificado, pois o grau de impacto que o risco pode proporcionar inimaginvel (MARTINS, 2003, p.33). Conforme o PMBOK (2004, p. 247-248), algumas tcnicas de coletas so utilizadas para identificar os riscos nas organizaes, so elas: Brainstorming1. Tem como objetivo obter uma lista de riscos. Normalmente realizado com um conjunto multidisciplinar de especialistas ou pessoas com experincia em projetos similares; Tcnica Dephi. Meio de alcanar um consenso entre especialistas. Os especialistas em riscos participam anonimamente e um facilitador usa um questionrio para idias sobre riscos importantes. Entrevista. So aplicadas a participantes experientes, partes interessadas e especialistas no assunto para identificar os riscos. considerada a mais importante fontes de coletas de dados sobre identificao de riscos.
1

Intensiva troca de idias (SOMMERVILE, 2003)

37 Identificao da causa-raiz. Investigao das causas dos riscos na organizao e refina o conceito de risco permitindo o agrupamento dos riscou por causa. Anlise de pontos fortes e fracos, oportunidades e ameaas (SWOT). Garante o exame de cada uma das perspectivas da anlise SWOT, para acrescer a amplitude dos riscos. Segundo SOOMERVILE (2003, p.72) e Fonseca (2006b, p.32-33), uma lista de possveis tipos de riscos relacionados com os escopos: humanos, tecnolgicos, de processos organizacionais e fsicos, para ajudar no processo de identificao dos ricos. Os riscos quanto ao escopo humano ou pessoal so os riscos associados s pessoas, que no ambiente organizacional esta relacionado a todos os funcionrios. Os riscos quanto tecnologia so os riscos da tecnologia de software e hardware, que no mbito organizacional esta relacionada aos sistemas utilizados, estaes de trabalho e servidores. Os riscos quanto aos processos organizacionais, so os riscos que abrange todos os processos de negcio da organizao. E por fim, os riscos quanto ao escopo fsico, so os riscos relacionados ao ambiente fsico da organizao, como os locais de trabalho dos funcionrios, os locais de armazenamento das informaes criticas, as centrais de processo de informao como os centros de processamento de dados, as salas de servidores, a sala do cofre forte etc. Cada tipo de risco abarcado como um escopo que, por sua vez, resulta em possveis riscos que podem ocorrer e afetar os produtos, processos e negcios da organizao. Conforme MARTINS (2003, p.33) o gerenciamento de risco adota como alicerce a classificao dos riscos baseado em funo da probabilidade de acontecimento de um risco ou impacto, este relacionamento pode ser compreendido adotando uma pontuao, representadas como: Baixo, valore entre 1 (um) e 3 (trs), que requer o controle para garantir que no aumente. Mdio, valore entre 4 (quatro) e 6 (seis), necessrio a monitorao ativa e reduo de risco quando for possvel. Alto, valor acima de 7 (sete) h a necessidade de executar algumas aes para reduzir a probabilidade ou impacto do risco.

38 Algumas tcnicas so necessrias para reduzir os riscos mdios e altos, que so os que causam srios prejuzos aos ativos de uma organizao, essas tcnicas utilizadas para se obter tal reduo, so: aceita, reduzir e transferir. Aceitar, ou seja, no fazer nada, pois as conseqncias tm um valor menor que a soluo. Reduzir, ou seja, gerenciar o risco no intuito de aliviar o impacto causado pelo mesmo. Transferir, ou seja, terceirizar parte do risco utilizando mo de obra de terceiros. A Figura 10 demonstra uma combinao entre impacto e probabilidade do risco, onde o resultado dessa combinao possvel de aspectos subjetivos, pois o valor a ser considerado a um risco pode variar de uma pessoa para outra pessoa ou de uma equipe apara outra.

Figura 10 Pontuao do risco mediante a relao da probabilidade com o impacto. Fonte: MARTINS, 2003, p.36

O processo de tratamento de riscos posto em pratica logo aps a identificao e definio de todos os riscos encontrados na organizao com a finalidade de determinar as melhores medidas de segurana a serem elaboradas. Essas medidas sero sempre documentadas e a depender da necessidade as organizaes tambm podem utilizar medidas adicionais como os planos de continuidade dos negcios que tem a finalidade de manter os negcios da organizao em funcionamento (PRADO, 2001). Segundo Beal (2005, p.11), muito importante que no processo de analise e avaliao de riscos uma gesto de segurana participe para que alm de elaborar uma estrutura de segurana tambm possa tomar as devidas decises sobre como e quanto gastar com a proteo dos dados corporativos da organizao.

39 Sendo assim, devido ao conhecimento sobre as vulnerabilidades e ameaas em que as informaes esto sujeitas, tornar-se mais fcil obter um diagnostico que possa equilibrar os custos operacionais e financeiros envolvidos na organizao. A Figura 11 representa as etapas inclusas no processo de gesto de risco, que tem como finalidade a reduo ou eliminao dos riscos.

Figura 11 Etapa da gesto de riscos. Fonte: BEAL, 2005

Conforme a norma ABNT NBR IS0/IEC 27001:2006 (2006, p.v), a representao cclica que esta representada no topo esquerda da Figura 11 e demonstrada com mais detalhes na Figura 12 conhecido como Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos os processos do Sistema de Gesto da Informao (SGSI).

40

Figura 12 Modelo PDCA aplicado aos processos de SGSI. Fonte: ABNT NBR IS0/IEC 27001:2006, p.vi

O quadro 03 explica cada uma das siglas que compem o ciclo, conforme a norma ABNT NBR IS0/IEC 27001:2006 (2006, p.vi).
Quadro 03 Significado das siglas do ciclo PDCA

Sigla Plan (palejar)

Do (fazer) Check (checar) Act (agir)

Descrio Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo coma as polticas e objetivos globais de uma organizao. Implementar e operar a poltica, controles, processos e procedimentos do SGSI. Avaliar e medir o desempenho de um processo frente poltica, objetivos e experincias prticas do SGSI. Executar as aes corretivas e preventivas, com base nos resultados das auditorias internas do SGSI.

Fonte: ABNT NBR IS0/IEC 27001:2006, p.vi.

Segundo Promon Business & Technology Review (2005), o PDCA permite um maior entendimento do SGSI atravs de uma visualizao global dos processos que os constituem. Os processos so: Planejamento da Segurana, Implementao da Segurana, Avaliao e Ao Corretiva. O Planejamento de uma estrutura de segurana da informao necessrio, por existir uma apreenso por parte dos gestores responsvel das organizaes em relao s necessidades criticas que impulsionam os negcios. Ento, tal preocupao esta relacionada aos processos onde esto presente as informaes critica e o fluxo de informaes associados a estes

41 processos e depois com os sistemas e servios que apiam estes processos crticos e da infraestrutura de Ti que d suporte aos sistemas e servios. (BEAL, 2005, p.38). Conforme Promon Business & Technology Review (2005), os processos precisam ser identificados e analisados com a finalidade de identificar os requisitos de segurana da informao. Segundo BEAL (2005, p.39) alem da identificao dos processos, existe a necessidade da criao de atividades planejadas que ter como finalidade tornar os requisitos de segurana disponveis. As atividades so: Definio de uma estrutura de gesto da segurana junto com as equipes que iro implement-las; Elaborao da poltica de segurana; Identificao e analise das normas legais e internas, como estatuto, clusulas, contratuais e regulamentos vinculados aos requisitos de segurana vigente; Analise / avaliao de riscos associados com ativos; Identificao e anlise do ciclo de vida das principais informaes; Mapeamento dos processos crticos de negcio da organizao, para que possa ser tratada. Para Promon Business & Technology Review (2005), o planejamento da segurana da informao reflete no estabelecimento de um SGSI composto das seguintes caractersticas: Definir uma diretriz de segurana da informao que esteja de acordo com o objetivo do negcio da organizao; Realizar um levantamento de todos os ativos dentro da organizao; Fazer um levantamento e de todas as vulnerabilidades, ameaas e impactos que cada ativo pode originar no mbito de negocio da organizao atribuindo valor a cada um deles; Definir, por meio de uma poltica de segurana, quais os controles (medidas) que sero introduzidos para amortizar o risco existente. Segundo Beal (2005, p.39), a implementao de segurana contm todo o processo de por em prtica as atividades que forma divulgada no planejamento, tais:

42 Divulgao da poltica de segurana; Elaborao do planejamento da estrutura de gesto; Definio e documentao das normas; Treinamento e a conscientizao por parte dos usurios; Elaborao e administrao dos controles (medidas) selecionados para o tratamento dos riscos, podendo ser: fsico, lgico, gerenciais e tecnolgicos, rotinas e procedimentos (rotina de backup, normas detalhadas de e-mail e de outros recursos computacionais, etc.). Implementar e operar o SGSI envolve a elaborao de estratgias de tratamento de risco, onde esto inclusos a instalao de ferramentas, treinamentos, campanhas de conscientizao, criao de procedimentos de trabalho, ou transferir o risco para terceiro (Promon Business & Technology Review, 2005). Por ltimos tem a etapa de avaliao e ao corretiva que segundo Beal (2005) necessria para que possa ser realizadas verificaes, com a finalidade de verificar se na fase de implementao satisfez tudo que foi estabelecido na fase de planejamento, em conformidade com os requisitos de segurana da informao. Os testes com os controles implementados e testes de conformidade so algumas avaliaes que so realizadas para encontrar falhas, que ao serem encontradas necessrio a ao corretiva agencie os ajustes necessrios. Segundo Promon Business & Technology Review (2005), a etapa de avaliao e ao corretiva corresponde ao monitoramento e reviso do SGSI, tendo como caractersticas verificar se as estratgias adotadas para o tratamento dos riscos identificados obteve xito e verificar pelo meio de uma monitorao peridica se o sistema esta atingindo os objetivos aguardados. A etapa ACT, responsvel por agir, tem como atividade a elaborao de melhorias e definir novos objetivos de segurana por meio de uma comparao dos objetivos iniciais relacionados com a adequao do SGSI. Perante a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.xi), identificados os riscos e tomadas devidas decises para o tratamento, convm que seja selecionados e implementados controles.

43

2.5.2 Seleo de Controles (Medidas de Segurana)

A norma ABNT NBR IS0/IEC 17799:2005 (2005, p.xii), [...] convm que controles apropriado sejam implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Os controles considerados, pela norma ABNT NBR IS0/IEC 17799:2005 (2005, p.xii), prticas para a segurana da informao, incluem: Documentos da poltica de segurana da informao; Atribuio de responsabilidades para a segurana da informao; Conscientizao, educao e treinamento em segurana da informao; Processamento correto nas aplicaes; Gesto de vulnerabilidades tcnicas; Gesto da continuidade de negcio; Gesto de incidentes de segurana da informao e melhoria.

Segundo Smola (2003, p. 116-129), existem muitos controles que podem ser aplicados nas organizaes, com relao os mecanismos destinados segurana fsica, tecnolgicos e humanos. Sendo que o peopleware2 pode ser considerado como um dos mais crticos e relevantes, podendo se adotar os seguintes controles para obter a reduo dos riscos: Seminrio de sensibilizao; Curso de capacitao; Crach de identificao; Procedimentos especficos para demisso de admisso de funcionrios; Termo de Responsabilidade.

Alguns dos controles citados interfere diretamente ou indiretamente no ambiente fsico, surgindo a necessidade de se implementar um conjunto de mecanismos a esses controles, como o controle de acesso e condies de ambiente fsico com a finalidade de sinalizar, registrar, impedir e autorizar acessos e estado. So eles:
2

Catracas de controle de acesso; Circuito interno de televiso;

Pessoas que trabalham diretamente, ou indiretamente, com a rea de processamento de dados, ou mesmo com Sistema de Informao (http://pt.wikipedia.org/wiki/Peoplewar).

44 Climatizadores de Ambiente; Detectores de fumaa; Extintores de incndio; Salas-cofre; Cabeamento estruturado; No-breaks; Fragmentadores de papel.

Da mesma forma que ocorre com os controles fsicos e humanos, os instrumentos aplicveis aos ativos tecnolgicos so divididos em trs famlias: autenticao e autorizao (carto magntico, carto com cdigo de barra, etc.), combate a ataques e invases (detector de intrusos, firewall3, etc.) e privacidades das comunicaes (criptografias, etc.). Sendo assim, fica a critrio da organizao decidir qual o controle adequado a ser adotado, fundamentados nos discernimentos para aceitao de riscos, nas opes para tratamento dos riscos e no enfoque geral da gesto de risco aplicado organizao.

2.5.3 Metodologia de Analise / Avaliao do Risco

Conforme BEAL (2005, p21), as organizaes utilizam as metodologias qualitativas e quantitativas para realizar a analise / avaliao dos riscos dos seus ativos. Dentre s duas metodologias, os mtodos quantitativos de avaliao de risco so mais utilizados quando se quer tomar decises sobre investimentos. Segundo Brasiliano (2006, p.46), a avaliao de riscos quantitativos tem como principal objetivo tentar calcular valores numricos para cada um dos componentes coletados na fase de anlise / avaliao de risco. Algumas tcnicas so utilizadas para realizar a avaliao de riscos quantitativos e entre essas tcnicas a mais conhecida a ALE (Annual Loss Expectations) onde seu objetivo prover as decises atravs de dados histricos. O seu clculo fundamentado na utilizao de indicadores como nmero de ocorrncia de um incidente decorrente de cada tipo de ameaa durante um determinado perodo e a perda estimada deste incidente durante o mesmo perodo. Atravs
3

Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma poltica de segurana a um determinado ponto de controle da rede (http://pt.wikipedia.org/wiki/Firewall)

45 desses indicadores possvel balancear o custo de implementao de medidas de segurana e o custo da no implementao dessa segurana. Conforme Brasiliano (2005), quando se trata de custo para uma medida de proteo em uma organizao, realizada uma estimativa entre o custo da perda prevista por um incidente, com a finalidade de se chegar a uma concluso do melhor investimento adequado para reduzir o risco proposto. J a avaliao de risco qualitativo, segundo Brasiliano (2006, p.46-47), comumente regida utilizando questionrios envolvendo pessoas de diversos setores na organizao, como por exemplo: coordenadores, gerentes e gestores das reas da empresa. Quando essa avaliao confrontada com critrios de riscos antecipadamente estabelecidos pela organizao levam a identificao dos riscos necessrios a ser amortizados (BEAL, 2005, p.22). Segundo Brasiliano (2006, p.46-47), a diferena entre a avaliao de risco quantitativo e a avaliao de risco qualitativa que na segunda no se atribui valores financeiros fixos aos ativos, s perdas esperadas e aos custos de controle (medidas de segurana). Para Brasiliano (2005), alm destas metodologias citadas anteriormente para anlise / avaliao de risco existe ferramentas disponveis que so utilizadas como auxilio na coleta, para armazenamento, processamento de um enorme volume de informao, onde manusear esta estrutura de ferramenta necessrio e de grande valia a participao de pessoas experientes e qualificadas para que exista uma garantia da utilizao correta desses recursos. Peixoto (2006, p.74) e Brasiliano (2005), propem uma metodologia de anlise / avaliao de risco que funciona como ferramenta de auxilio aos administradores e chefes de segurana referente ao quesito segurana da informao. Segundo Brasiliano (2005), as organizaes adotam, para teste de conformidade, as recomendaes de segurana da informao referentes norma NBR ISSO/IEC 17799 com o a finalidade de verificar as divergncias no que se refere proteo da confidencialidade, integridade e disponibilidade. Estes testes adotados pelas organizaes so fundamentados em perguntas objetivas com pontuao associada que revelar o nvel de conformidade das mesmas. Os resultados obtidos atravs dos questionrios so equiparados com os ndices de conformidade da norma NBR ISSO/IEC 17799 para ter uma noo de como a organizao est

46 representado no que diz respeito as suas medidas de segurana da informao, sua estrutura de gesto na anlise e a preparao do gerente ou gestor a sua equipe (PEIXOTO, 2006, p.66). A depender do resultado adquirido relacionado ao diagnostico do teste de conformidade imprescindvel implantao de uma metodologia por parte da organizao para ter capacidade de identificar, analisar e avaliar os riscos expostos. A metodologia mencionada denominada de mosler (BRASILIANO, 2005). Conforme Peixoto (2005, p.75) o mtodo mosler tem como finalidade alm de analisar os riscos tambm avali-los atravs de um estudo que possui quatro etapas distintas, porm seqenciais que tratam identificao, analise e evoluo dos fatores que podem resultar na revelao e concretizao da ameaa. Essas etapas so definidas como: 1. Definio de risco. Caracterizada em identificar o risco em detrimento atividade em que est sendo analisada; 2. Anlise de risco. Dividida em cinco critrios fundamentados na materializao da ameaa que esta sendo estudada. Conforme demonstrado na Tabela 01, cada critrio pontuado numa escala de 01 a 05 dependendo da sua gravidade. Um dos critrios definido como de funo onde as atividades principais so levantadas a fim de identificar as conseqncias negativas que podem alter-las;
Tabela 01 Critrio de funo.

Escala Muito Gravemente Gravemente Mediante Levemente Muito Levemente

Fonte: BRASILIANO, 2005

Pontuao 05 04 03 02 01

3.

Evoluo do risco. Responsvel por determinar o grau de importncia do risco utilizado para isso clculos que determinaro a sua magnitude, onde esses clculos so baseados nos resultados obtidos na analise de risco que ir servir de auxilio para classe de risco (BRASILIANO, 2005);

4.

Classe do risco. Compara os resultados obtidos na anlise de risco com os que esto formalizados nas normas citadas anteriormente com a finalidade de chegar a

47 uma classe de risco. A Tabela 02 demonstra uma representao da classe de risco (BRASILIANO, 2005).
Tabela 02 Classe de risco.

Valor ER Quantificao 2-225 251-500 501-750 751-1000 1001-1250

Fonte: BRASILIANO, 2005

Pontuao Muito Baixo Pequeno Normal Grande Elevado

2.6 Segurana Fisica

Segundo a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.8), em relao a reas seguras tem como objetivo prevenir o acesso fisico no autorizado, danos e interferencias com as instalaes e informaes da organizao. Sendo assim, existe a necessidade de que as informaes criticas ou senciveis da organizao sejam mantidas em aras seguras, protegidas por perimetros de segurana fisica, com barreiras e controle de acesso. A norma ABNT NBR IS0/IEC 17799:2005 (2005, p.8), tambm frisa que a proteo oferecida a essas informaes criticas ou senciveis devem ser compatveis com os riscos identificados. Segundo MAIA (2002), muitas organizaes tratam com idiferena a segurana fisica. Essas organizaes tratam como segurana apenas o ambiente de tecnologia, sendo que segurana se abraje a um todo, fafendo parte de toda organizao. Planejar e desenvolver a segurana fisica significa tratar as ameaas internas que podem ser consideradas uns dos principais riscos a segurana dos recursos computacionais. Sentre algumas ameaas segurana fisica pode-se considerear: incdio (fogo e fumaa), tremores e abalos sismicos, roubos e furtos, gua (vazamento, enchentes, corroso), tempestades e furaces, sabotagem e vandalismo, desmoramento de constries, exploses, interrupo de energia (bombas de presso, ar-condicionado, elevadores), mariais toxicos, falha de equipamento, entre outros.

48

3 POLTICA DE SEGURANA
Segundo estudo feito pela Pentasafe, empresa de consultoria Britnica, em entrevista feita a 15 mil funcionrios de 600 grandes empresas constatou que 60% dos funcionrios possuam poucos conhecimentos sobre planos de segurana e 90% dos entrevistados admitiram abrir ou executar arquivos desconhecidos anexados em e-mails, tambm constatou que a maior parte dos funcionrios cria senhas bvias, sendo que 50% admitiam colocar nome de familiares, amigos ou animais de estimao, 30% colocam o nome de dolos musicais ou esportivos, e apenas 20% procuram adotar um padro de segurana na escolha das senhas. As empresas tambm possuem uma fatia da responsabilidade pelos problemas relacionados segurana. Conforme estudo, em um tero dessas empresas os empregados no so obrigados a ler a poltica de segurana existente e 50% admitiram nunca terem recebido qualquer tipo de treinamento especfico sobre o tema. (LAGE, 2002) As empresas atualmente vm sofrendo bastantes efeitos catastrficos nos negcio devido a no possuir uma poltica de segurana formal e implantada. Essa ausncia acarreta um risco enorme frente aos possveis e diversos tipos de ataques que se pode sofrer nos dias de hoje nos sistemas de gerenciamento de informaes das empresas. (FONSECA, 2006c, p.9) Uma forma de prevenir, proteger a informao de forma a restringir acessos e salva guarda a sua manipulao por pessoas no autorizada, evitando as ameaas, a utilizao de uma poltica de segurana bem implementada. A poltica de segurana a base para todas as questes relacionadas proteo da informao, desempenhando um papel importante em todas as organizaes [...] (SPANCESKI, 2004, p.33). Para Fonseca (2006c, p.9), uma poltica de segurana um conjunto de documentos (diretrizes, normas, procedimentos e instrues) elaborados com a finalidade de comandar as atuaes de trabalho e definir os critrios de segurana para que sejam utilizados com o objetivo de estabelecer, padronizar e normatizar a segurana e seus processos no escopo processual, humano e tecnolgico. No escopo processual, os processos de segurana da informao da empresa so um dos principais pontos a serem formalizados em uma poltica de segurana. Exemplos desses

49 processos so: a classificao da informao e as responsabilidades e aladas de deciso neste e processos de exceo s normas de segurana Para o escopo humano, de grande importncia definir a conduta adequada para o tratamento da informao e dos recursos utilizados, tendo o apoio da administrao para assegurar que o programa de segurana consiga dirigir as aes necessrias para modificar a cultura da segurana atual. No escopo tecnolgico, necessrio definir os aspectos mais relevantes e crticos do bom funcionamento ativos de informtica. Tendo tambm como apoio importante a administrao para que haja investimentos para aquisio dos recursos necessrios. Conforme a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.8), uma poltica de segurana tem como objetivo prover uma orientao e apoio a administrao para a segurana da informao de acordo com os requisitos de negcio e com as leis e regulamentaes relevantes.

3.1 Diretrizes, Normas e Procedimentos

Conforme Fonseca (2006c, p. 24), as normas, diretrizes e procedimentos so os documentos que compe uma poltica da informao. Esses documentos permitiro que a poltica de segurana da informao tenha um alinhamento com os objetivos da organizao e seja modular, facilitando a implantao e a atualizao.

Figura 13 Diretrizes, normas e procedimentos. Fonte: FONSECA, 2006c, p.25

Conforme demonstrado na figura 13 e segundo Fonseca (2006c, p. 26), as diretrizes so um conjunto de regras gerais de nvel estratgico onde so expressos os valores de segurana da organizao, tendo como base a sua viso e misso para abranger a filosofia da segurana da informao. Essas diretrizes correspondem s preocupaes da organizao referente a

50 segurana da informao e so compostos em forma de textos, podendo ser aplicados em qualquer ambiente da organizao. Martins (2003, p.286) conceitua normas como um conjunto de regras gerais, especificas e formalizadas que envolvem a segurana da informao de uma organizao. Essas normas esto no nvel ttico e podem ser utilizadas por todos os segmentos envolvidos nos processos de negcio da organizao, sendo assim, so elaboradas com um foco mais especifico como controle de acesso, uso do correio eletrnico, uso da internet, etc. Segundo Fonseca (2006c, p. 26), os procedimentos so definidos como um conjunto de orientao que so designadas com a finalidade de desenvolver as atividades operacionais relacionadas a segurana. Essas atividades envolvem passo a passo que so detalhados, garantindo a observao de aspectos de segurana.

3.2 Elaborao da Poltica da Segurana

Segundo Fonseca (2006c, p.15), para elaborar uma poltica de segurana necessrio levar em considerao as exigncias bsicas e as etapas necessrias para a sua produo.

3.2.1 Exigncias Bsicas

A poltica elaborada tomando-se como base a legislao existente, clusulas contratuais, a cultura da empresa e o conhecimento especializado de segurana dos profissionais envolvidos na sua aplicao e comprometimento. (FONSECA, 2006c, p.15). Conforme o prprio Fonseca (2006c, p.15), para a elaborao de uma poltica de segurana institucional necessrio: criar o comit de segurana, elaborar documento final e oficializar a poltica. A criao do comit de segurana envolve: Formar uma equipe multidisciplinar que represente grande parte dos aspectos culturais, tcnicos e administrativos da empresa e que se rena periodicamente dentro de um cronograma pr-estabelecido. Esse comit formado por um grupo de pessoas responsveis por atividades referentes criao e aprovao de requisitos e demandas de segurana na empresa.

51 Nas reunies, so definidos os critrios de segurana adotados em cada rea e o esforo comum necessrio para que a segurana alcance tais critrios. Segundo Fonseca (2006c, p.15), no documento final deve constar as preocupaes da administrao no que se refere segurana para que todas as normas, procedimentos e instrues possam vir a serem definidos e em conformidade com a ABNT NBR IS0/IEC 17799:2005 (2005, p.8), a mesma convm que o documento da poltica contenha declaraes relativas a: A definio da prpria poltica e seus objetivos, suas metas globais, escopo e importncia da segurana da informao como um mecanismo que habilita o compartilhamento da informao; Uma declarao do comprometimento da administrao, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio; Uma explicao das polticas, norma e requisitos de conformidade com relao a: legislao e clusulas contratuais, educao e formao em segurana da informao, gesto da continuidade do negcio e preveno contra ameaas (vrus, cavalos de Tria, hackers, incndios, intempries, etc.). Atribuio das responsabilidades gerais e especficas das pessoas envolvidas, ficando claros os papis de cada um na gesto e execuo dos processos no que diz respeito segurana, incluindo registro dos incidentes de segurana da informao; Referencia documentao que possam apoiar a poltica, como: poltica e procedimentos de segurana mais detalhadas de sistemas de informaes especficas, e regras de segurana que os usurios devem seguir. Fonseca (2006c, p.17) explana que, para oficializar a poltica tem que ter como base a sua aprovao por parte da administrao da empresa. A norma ABNT NBR IS0/IEC 17799:2005 (2005, p.8), convm que poltica de segurana tambm deva ser publicada e comunicada por parte da administrao de maneira adequada para todos os funcionrios e partes externas relevantes.

52

3.2.2 Etapas de produo da poltica

Elaborar uma poltica um processo que exige tempo e informaes. necessrio conhecer como a empresa se estrutura e como os processos so dirigidos atualmente. (FONSECA, 2006c, p.18). O trabalho de produo composto de etapas distintas: Objetivo e escopo elaborar a apresentao da poltica com relao a seus propsitos e contedos, buscando identificar resumidamente quais padres a poltica tenta estabelecer, alm da amplitude que ter em relao ambientes, indivduos, reas e departamentos da empresa. Entrevista identificar junto aos usurios e administradores da empresa as preocupaes que tm com os ativos, os processos de negcio, reas ou tarefas que executam ou da qual participam. Investigao e anlise de documentos so identificados e analisados os documentos existentes da empresa e os que tm alguma relao com o processo de segurana no que se refere reduo de riscos, diminuio de trabalho repetido e falta de orientao. Reunio de Poltica realizadas com as equipes envolvidas na elaborao, os temas so levantados e discutidos. Glossrio da Poltica esclarecer qualquer dvida conceitual que possa surgir no momento da leitura da poltica. Responsabilidades e penalidades identificar os responsveis pelo gerenciamento de segurana dos ativos com o objetivo de estabelecer as relaes de responsabilidade para o cumprimento das tarefas, como as normas de aplicao de sanes resultantes de casos de inconformidade com a poltica elaborada.

3.3 Politica de Segurana Fisica

Conforme a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.32), a segurana fsica tem como finalidade garantir a segurana da infra-estrutura da organizao, no que diz respeito a criao de perimetros de segurana fisica, controle de entrada fisica, segurana nas salas e instalaes da organizao e segurana dos equipamentos utilizado na organizao.

53 Segundo MARTINS (2003, p.289), a politica de construo das instalaes considera a consignao de uma localizao estratgica para todos os equipamentos adeptos, tanto para a segurana da informao, como trambm para os computadores responsveis pela manipulae e armazenamento das informaes e dos centros de comunicao. A norma ABNT NBR IS0/IEC 17799:2005 (2005, p.35) convm que os equipamentos sejam colocadoem em locais protegidos para que minimizar os riscos de ameaas e perigos do meio ambiente (enchente, terremoto, sinistro, etc.), bem como de acesso por pessoas no autorizadas. As segintes diretrizes necessrias para manter os equipamentos protegidos: Os equipamentos devem ser colocados em locais apropriados com a finalidade de reduzir o acesso desnecessrio s reas de trabalhos; As instalaes dos equipamentos onde armazenam informaes sensveis e criticas dever ser posicionados em locais estratgicos, com a finalidade de restringir o acesso por pessoas no autorizadas; Os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral da proteo necessria; necessrio que controles sejam adotados para reduzir os riscos de ameaas fsicas potenciais, tais como: furto ou roubo, incndio, explosivos, fumaa, falta de suprimento de gua, poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica, interferncia com as comunicaes, radiao, eletromagntica e vandalismo; O estabelecimento de diretrizes quanto a comer, beber e fumar nas proximidades das instalaes de processamento da informao; A monitorao das condies ambientais, como temperatura e umidade, com a finalidade de evitar problemas relacionados aos recursos de processamento da informao; Todas as instalaes da organizao sejam protegidas contra raios e todas as linhas de energia e comunicao possuam filtros de proteo contra raios; Os equipamentos responsveis pelo processamento de informaes sensveis e criticas devem ser protegidos a fim de evitar o vazamento destas informaes.

54 A poltica de segurana deve frisar de forma clara o controle de acesso as instalaes, sendo importante o estabelecimento de um responsvel por manter as listas de permisses e quem far auditoria. (MARTINS, 2003, p. 290). Conforme o MARTINS (2003, p.290), no que diz respeito ao acesso concebido aos visitantes, a poltica deve atribuir normas distintas a depender da situao. O acesso de um determinado visitante a uma rea critica da organizao pode exigir mais que uma simples identificao, mas tambm o acompanhamento de um representante da organizao. Segundo a norma ABNT NBR IS0/IEC 17799:2005 (2005, p. 34) augumas diretrizes devem ser levadas em considerao para o trabalho em area segura: Apenas pessoas autorizadas devem possuir o conhecimento das reas consideradas seguras da organizao; Os trabalhos no supervisionados em reas seguras devem ser evitados, tanto por motivos de segurana como para evitar prevenir atividades mal intencionadas; As reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas; No seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou de outros equipamentos de gravao, tais como cmera em dispositivos mveis, salvo se for autorizado.

3.4 Autenticao e Segurana de Rede

Para SEMOLA (2003), como a informao considerada o ativo mais importanete e de maior valor para a organizao, aspectos como controle de acesso, login e senha, arquitetura de rede remota so fatores que devem esta incluso na politica de segurana da informao. Segundo MARTINS (2003, p.291) existem muitas normalizaes que visam o contro de acesso da informao de uma fornma segura. Essas normalizaes esto na sua maioria relacionadas a arquitetura de rede com vrios mtodos de autenticao (Login / Logon). Segundo a norma ABNT NBR IS0/IEC 17799:2005 (2005, p.65) para casa recurso ou servio que venha a ser implementado na organizao e necessite de controle de acesso esencial que a politica de controle de acesso fornea um documento formalizado atravs das normas todos os critrios de acesso.

55

3.5 Politica de Segurana para Internet

Conforme MARTINS (2003, P.295), e importante que a organizao adote politicas para casa tecnologia especifica, para posteriormente ser agrupadas logicamente. Alm disso, politicas que decretem treinamento aos usuarios sobre o uso correto dos recursos de internet uma boa iniciativa para evitar problemas de acesso, tai como: a utilizao de downloads e o uso de programas feito download da internet, acesso a sites pornograficos, entre outros.

3.6 Politica de Segurana para E-mail

Para MARTINS (2003, p.298) a politica de seguna de e-mail deve abordar aspectos de armazenamento, conteudo e tranmisso, sendo considerado nesse contexto regras para sua utilizao, a administrao e o uso de e-mail para a transmosso de informaes. Na politica de segurana das informaes, algumas diretrizes so importantes para que as informae sejam transferidas de forma segura, so elas: Frisar o uso correto do e-mail objetivando os requisitos de negcio da organizao; A utilizao de um scan com a finalidade de verificar a ocorrncia de vrus; Definir mecanismo de backup e sua prioridade, no que se refere a arquivamento.

3.7 Virus
Segundo MARTINS (2003, p. 300) os virus suregem atrves das vunerabilidade ocasionadas pelos processos de negcios que, ao ficarem expostas, podem causar serios danos a organizao. As organizaes adotam softwares especificos denominados anti-virus para manter seus equipmentos seguros dos virus. Sendo assim, a politica de segurana da internet deve fornecer instrunes para que os usurios utilizern apenas anti-virus homologados pela organizao, no desabilitando sem autorizao prvia de um responsvel e derminando que estes usurios no se envolvam com virus podendo resultar em demisso.

56

4 MODELO DE POLTICA DE SEGURANA DA INFORMAO

At o momento da elaborao deste trabalho a SINART no possui uma poltica de segurana de informao. Foi imprescindvel a elaborao de algumas etapas satisfatrias para identifica, analisar e avaliar os riscos na SINART. As etapas desenvolvidas sero descritas neste trabalho. A poltica de segurana da informao ser considerada como modelo para gesto, e ser tratado num documento como uma formalizao das vontades da SINART quanto proteo dos ativos do ambiente funcional, considerando a adequao de um modelo de procedimento perante as precises da SINART.

4.1 Descrio do Ambiente da SINART

A SINART como a prpria sigla especifica uma sociedade nacional de apoio rodovirio e turstico. A SINART foi fundada em 1972 pela Construtora Noberto Odebrecht (CNO) e Correia Ribeiro, com o objetivo de juntos empreenderem o novo Terminal Rodovirio de Salvador. A SINART, mediante contrato de concesso, construiu uma tecnologia prpria na administrao de terminais de passageiros, destacando-se como uma grande empresa do setor no Pas. Atualmente a SINART administra os seguintes terminais rodovirios: Salvador, Feira de Santana, Itabuna, Ilhus, Valena, Camaari e Teixeira de Freitas, no estado da Bahia. Tambm opera em Petrpolis RJ, Juiz de Fora MG e vrios municpios de Belm PA. As seguintes empresas fazem parte do grupo SINART: TecnoASP, Salvatur

(http://www.salvatur.com.br), Bahia Park, Hot Line e Bahia Travel. A SINART visa ser a melhor e mais completa prestadora de servios em terminais rodovirios do Brasil, com a misso de prestar servios de apoio a transportes e viagens, buscando a plena satisfao do cliente. Os agentes que esto diretamente e indiretamente relacionados aos processos da SINART so compreendidos unicamente pelos funcionrios. Dentre estes funcionrios esto os estagirios, terceirizados e funcionrios efetivos. Os terceirizados so contratados de outras organizaes com a finalidade de cumprirem temporariamente servios especficos na instituio. O organograma demonstrado na Figura 14 mostra a estrutura atual da SINART.

57

Figura 14 Organograma da SINART

Conforme demonstrado na Figura 14, a estrutura organizacional da SINART composta por quatro diretorias, so elas Diretoria de Planejamento, Diretoria Financeira, Diretoria de Novos

58 Negcios e Diretoria Administrativa. Todas essas diretorias esto subordinadas a uma diretoria geral onde se tem um presidente e possuem uma gerncia, superviso e colaboradores. A Diretoria de Planejamento Responsabilidade Administrativa ISO9000 esta divididas em setores da seguinte forma: Setor de Informtica, Setor de RH/Qualidade e Setor de Planejamento. A Diretoria financeira possui o setor financeiro. Diretoria de Novos Negcios possui o setor comercial. Diretoria Administrativa composta pelo setor de Suprimento. Tambm existe o setor de operao que esta ligada diretamente a diretoria geral e o setor tcnico e o setor de contabilidade que ainda no se encontra no organograma. Perante esse organograma plausvel visualizar a estrutura organizacional da SINART, observando que neste contem todas as atividades e servios necessrios para dar continuidade aos seus processos em todas as diretorias. Como este trabalho visa criao de um modelo de poltica de segurana da informao para esta organizao, fica evidente a necessidade da descrio de sua estrutura organizacional para analisar os problemas enfrentados em relao segurana de informao. Devido s necessidades citadas, a seguir so descritos de forma resumida, todos os setores ligados as diretorias mencionadas anteriormente.

4.1.1 Setor de Informtica

O setor de informtica esta vinculada a diretoria de planejamento responsabilidade administrativa ISO9000 e composta por dez funcionrios efetivos e dois terceirizados. Entre os funcionrios efetivos encontram-se analistas de sistemas e tcnicos de suporte, responsveis por diversas atividades relacionadas ao setor. O setor de informtica desenvolve atividades de implantao, conservao e alimentao do banco de dados, desenvolvimento de programas especficos, treinamento aos usurios para utilizao dos sistemas desenvolvidos, manuteno da rede interna da SINART, atualizao dos equipamentos e programas, atendimento tcnico aos usurios da rede interna e execuo de servios especiais de informtica. Todas essas atividades so coordenadas e gerenciadas por outro funcionrio efetivo, o gerente. O acesso fsico a este setor livre a todos os funcionrios da organizao no havendo nenhuma monitorao por cmera de vigilncia, estando seus ativos desprovidos de segurana. Diferente

59 do CPD, onde esto todos os servidores e ativos de rede, que s tem acesso com autorizao prvia.

4.1.2 Setor de RH/Qualidade

O setor de qualidade tambm est vinculado diretoria de planejamento responsabilidade administrativa ISO9000 sendo composta por trs funcionrios efetivos e um estagirio. Entre os funcionrios efetivos encontram-se assistentes sociais, auxiliares de recursos humanos, tcnicos de segurana do trabalho e tcnicos de processos. As atividades desempenhadas pelo setor de RH/Qualidade so as seguintes: recrutamento, capacitao, integrao e reteno de profissionais para o quadro de funcionrio da SINART. Elaborao de contratos e comunicao Segurana Social. Prestar servios sociais orientando os funcionrios da SINART sobre direitos e deveres (normas, cdigos e legislao), servios e recursos sociais e programas de educao. Elaborao e implementao da poltica de sade e segurana no trabalho. Todas essas atividades so coordenadas e gerenciadas por outro funcionrio efetivo, o gerente. O acesso fsico a este setor atribudo apenas aos funcionrios com autorizao, sendo tambm necessria uma identificao prvia.

4.1.3 Setor Contabilidade

O setor de contabilidade no est apresentado no organograma, pois o organograma ao qual a empresa possui e foi disponibilizado est desatualizado. Este setor possui sete funcionrios, sendo que um efetivo, dois so estagirios e trs so terceirizados, todos eles responsveis por diversas atividades relacionadas diretamente a este setor. Dentre as atividades realizadas pelo setor de contabilidade esto envolvidas: confeco dos relatrios contbeis, confeco dos balanos, controle dos documentos da empresa, controle do patrimnio, organizar e manter atualizado os arquivos de documentos especficos a sua rea de
atuao e controle da mquina de xerox. Todas essas atividades so coordenadas e gerenciadas

por outro funcionrio efetivo, o gerente, que tem como principal atividade, planejar, organizar e supervisionar as atividades da contabilidade geral no setor. O acesso fsico a este setor livre a todos os funcionrios da organizao no havendo nenhuma monitorao por cmera de vigilncia, estando seus ativos desprovidos de segurana.

60

4.1.4 Setor Planejamento

O setor de planejamento mais um vinculado a diretoria de planejamento responsabilidade administrativa ISO9000 e composta por quatro funcionrios efetivos e um estagirio. Entre os funcionrios efetivos encontram-se tcnicos de pessoais e auxiliares de pessoal. Dentre as atividades exercidas por este setor esto envolvidas: relacionar quadro de pessoal (efetivos/terceirizados/estagirios), orientar a equipe em assuntos da rea funcional, atualizar a pasta funcional dos efetivos, controlar e lanar no sistema as frias dos funcionrios, controlar lanamento de benefcios, controlar distribuio de contracheques e supervisionar a atualizao do manual e formulrios da rea de pessoal entre outras atividades. Todas essas atividades relacionadas anteriormente so coordenadas e gerenciadas por outro funcionrio efetivo, o gerente. Da mesma forma que o setor financeiro e o setor RH/ Qualidade, o acesso ao setor atribudo apenas aos funcionrios com autorizao, sendo tambm necessria uma identificao prvia.

4.1.5 Setor Financeiro

O setor financeiro esta vinculada a diretoria financeira e composto por dezessete funcionrios efetivos e um estagirio, responsveis por diversas atividades relacionadas diretamente a este setor. Dentre as atividades esto compreendidos o controle e pagamentos, ordem de pagamentos, ordem de crditos e suprimento de fundos, observados os procedimentos administrativos. Controle da conta corrente e poupanas da empresa, diariamente atualizada. Fazer depsitos bancrios. Emitir recibos e empenhos dentro das deposies legais. Despachos com o gerente e presidente. Providenciar pagamento de conselheiro e funcionrios concernentes s despesas de dirias e passagens. Informar dotao oramentria. Emitir cheques de pagamento. Relatrio mensal de atividades do setor financeiro. Alm dessas atividades, o setor financeiro da SINART tem a responsabilidade de fazer a redistribuio de documentos e comunicados para os outros setores, e envio de malote. As funcionalidades cominadas aos funcionrios efetivos esto diretamente relacionadas aos processos mais importantes. J aos estagirios so atribudas atividades menores e simples. Todos estes processos, que so executados a fim de cumprir com as atividades propostas acima

61 so supervisionados por um dos funcionrios efetivo, o supervisor, e coordenadas e gerenciadas por outro funcionrio efetivo, o gerente. O acesso fsico ao setor financeiro atribudo apenas para os funcionrios com autorizao. utilizado um porteiro eletrnico como controle, onde o acesso mesmo dos funcionrios do setor feito mediante identificao.

4.1.6 Setor Comercial

O setor comercial no existe mais, este setor era responsvel por esta trazendo novos contratos para a SINART e esta sempre fazendo com que a SINART estivesse participando dos processos de licitaes publicas. Essa responsbilidade era incubida a um funcionrio que tinha como principal atividade esta atento as informnaes no dirio oficial. Atualmente esse funcionrio esta na diretoria administrativa executando alm desta aividades outras relacionada a administrao da SINART.

4.1.7 Setor de Suprimento

O setor de suprimento tambm conhecido como estoque faz parte da diretoria administrativa e possui dois funcionrios efetivos, que tem como responsabilidade efetuar diversas atividades relacionadas ao setor em que trabalham. O setor de suprimento tem como principal funo suprir todas as reas do SINART com materiais diversificados. Alm disso, responsvel por fazer as compras de matrias com a finalidade de reposio do estoque. As compras so feitas perante cotaes com no mnimo trs empresas. Outras atividades exercidas pelos funcionrios do setor so: controle do estoque, distribuio de materiais crticos. O controle de estoque feito mediante um sistema informatizado e os materiais crticos so aqueles que no pode faltar, principalmente na rea de transbordo do SINART, como por exemplo, materiais de limpeza e higiene. O acesso fsico ao setor atribudo somente a funcionrios que requisitam materiais. Tambm proibido guardar qualquer material sem procedncia e que no faa parte do controle de estoque nas dependncias do setor.

62

4.1.8 Setor Tcnico

O setor tcnico est vinculado a diretoria tcnica e composta por dez funcionrios sendo apenas dois efetivos e os restantes estagirios, responsveis pela a execuo das atividades relacionadas ao setor. Este setor tem como principal responsabilidade dar apoio tcnico a todo o terminal rodovirio no que diz a obra de ampliao estrutural entre outras responsabilidades. Dentre as atividades desempenhadas pelos funcionrios do setor destaca-se elaborao de projetos arquitetnicos, modificao de layout, e a conservao de energia e gua. O acesso fsico a este setor livre a todos os funcionrios da organizao no havendo nenhuma monitorao por cmera de vigilncia, estando seus ativos desprovidos de segurana.

4.1.9 Setor Operao

O setor de operao esta ligado a diretoria geral e responsvel por toda a parte operacional do terminal rodovirio. Este setor composto por 143 funcionrios ativos dentre esses: recepcionistas, auxiliares de guarda-volumes, vigilantes, orientadores de trafego, orientadores de embarque, auxiliares de estacionamento, auxiliares de operao, agentes de limpeza e auxiliares de segurana, que tem como responsabilidade efetuar diversas atividades. O setor de operao tem como atividades: recepcionar e prover informaoes aos usurio do terminal rodoviario, manter o ambiente fisico do terminal rodoviario limpo, fazer a vigilancia e segurana patrimonial, auxiliar no trafego e no embarque e desembarque dos passageiros, prover estrutura para guradar volumes dos passageiros e prover estacionamento. O acesso fsico ao setor atribudo somente a funcionrios, havendo monitorao por cmera de vigilncia, estando seus ativos providos de segurana.

4.2 Anlise /Avaliao de Riscos

A metodologia de anlise/avaliao de riscos contida neste capitulo surgiu da necessidade de identificar e classificar os riscos de acordo com o seu grau de importncia nos processos da

63 SINART. O resultado desta analise/avaliao de riscos ser de grande importncia para o desenvolvimento das diretrizes que iro fazer parte da poltica de segurana da SINART. Para existir posteriormente uma melhoria das diretrizes elaboradas e tambm com a finalidade de se identificar e classificar novos riscos, necessrio que a fase de anlise/avaliao de riscos seja realizada periodicamente. Conseguinte, com as realizaes peridicas dessas anlise/avaliao ser possvel preservar um nvel de proteo adequada aos ativos da SINART. O levantamento das informaes necessrias para a preparao do estudo da anlise/avaliao de riscos foi feita atravs da coleta de dados utilizado como ferramenta para essa coleta os questionrios definidos como roteiro de entrevista, que foi aplicado aos funcionrios efetivos, supervisores e gerentes de cada departamento. Esse procedimento foi realizado atravs de visitas peridicas as instalaes do SINART, na qual tambm foi possvel descrever os departamentos que fazem parte da SINART. Assim sendo, a elaborao da anlise/avaliao ser fundamentada nos riscos encontrados a partir das informaes coletadas atravs do roteiro de entrevista. Atravs de um estudo envolvendo trs roteiros distintos destinados aos funcionrios efetivos e o outro destinado aos gerentes, sendo que um terceiro em especial foi destinado ao gerente do departamento de informtica foi possvel participao dos funcionrios efetivos e gerentes na criao da anlise/avaliao de riscos. A representao dos roteiros de entrevista est presentes nos apndices A, B e C. Os roteiros de entrevista foram disponibilizados a alguns funcionrios efetivos e os gerentes de cada setor do SINART. Sendo esses funcionrios responsveis por executar diversas atividades especficas e tambm pela manipulao de processos crticos relacionados diretamente ou indiretamente com os ativos do setor. As respostas firam mantidas em sigilo, por envolver a descrio de processos considerados crticos a manuteno e conservao dos ativos. O estudo realizado a partir das visitas peridicas as dependncias da SINART e dos roteiros de entrevistas aplicados aos funcionrios efetivos e gerente da mesma teve como alicerce o processo de brainstorming, com a participao da equipe de TI da SINART juntamente com os incumbidos desta tarefa. O resultado deste estudo compreendido a partir dos seguintes passos: identificar os riscos do ambiente; avaliar a probabilidade e o impacto de cada risco identificado, estabelecer as respostas aos riscos identificados e elaborar um modelo de poltica de segurana voltado para a SINART.

64

4.2.1 Identificao dos Riscos

A etapa de identificao dos ricos s foi possvel mediante as visitas as dependncias da SINART, as informaes levantadas atravs dos roteiros de entrevista respondidos pelos funcionrios e a intensa troca de idia no processo de brainstorming. Em conseqncia foi possvel tambm elaborar um documento contendo os principais riscos juntamente com as suas respectivas aes para tratar ou responder a esses riscos. O processo de brainstorming foi realizado entre a equipe de TI da SINART e o autor deste trabalho, onde foi possvel levantar informaes importantes para a identificao dos riscos. Devido a no autorizao da divulgao por parte da alta direo da SINART, algumas informaes consideradas sigilosas tiveram que ser ocultadas e outras com um grau de sigilo menor foram modificadas. Nesta etapa o material utilizado como referencia para identificar os riscos, com base nas visitas realizadas periodicamente as dependncias da SINART e no roteiro de entrevista, foi a norma ABNT NBR IS0/IEC 17799:2005 por ser considerada uma referencia brasileira que aborda os padres de segurana de informao. Sendo assim, com fundamento nesta norma, o estudo realizado na SINART e a intensa troca de informaes entre os seu funcionrios, ocasionou na criao de um documento composto pela identificao do risco e seus respectivos tratamentos, conforme os requisitos de segurana apresentados na norma. A norma ABNT NBR IS0/IEC 17799:2005 aborda os requisitos que se segue necessrios para criao de um modelo para a politica de segurana da informao:

Segurana organizacional; Classificao dos ativos; Segurana em recursos humanos; Segurana fsica e do ambiente; Gesto das operaes e comunicao; Controle de acesso; Desenvolvimento e manuteno de sistemas de informao;

65 Gesto de incidentes; Gesto de continuidade de negcios; Conformidade;

Cada um destes requisitos possui um conjundo de controles a qual deve ser respeitados com a finalidade de proporcionar um nivel de seguraa aceitavel pela norma. Os controles presentes em cada requisito so orientaes fundamentadas na norma ABNT NBR IS0/IEC 17799:2005 utilizadas para a concepo de determinadas dieretriezes, que por sua vez, funcionaram como um conjunto de instrunes para proporcionar um nivel de segurana para a SINART. Para criar um modelo de segurana da SINART, ser urilizado or requisitos mais viaveis, sendo que, a depender dos processos organizacionais levados em considerao para a elaborao da politica, no ser necessrio a obrigariedade de usar todos os requisitos da norma utilizada como referncia. O ponto incial para a elaborao do modelo da politica de segurana da inforamao para a SINART, foi a elaborao de uma estrutura dividida em categoria conforme o tipo de rico que foi detectado. Esta estrutura esta reperesentada no apendice D.

4.2.2 Qualificao dos Riscos

A qualificao dos riscos identificados na SINART, com a finalidade de determinar o grau de importncia e incidncia, foi elaborada seguindo um critrio de relacionamento entre a probabilidade de uma ameaa ocorrer com o impacto que essa possa a vim causar a SINART. Atravs das informaes contidas no apendice D foi possivel desenvolver um estudo que abrange a correlao entre a probabilidade de uma amea ocorrer e niveis de impacto dessas ameaas se vierem a acontecer. importante lembrar que o apendice D foi utilizado como alicerce para elaborao deste processo de qualificao dos riscos. No quadro 04 esto reperesentados a qualificao dos riscos, lembrando que o resultado foi fundamentado seguindo o bom senso de cada participanete deste estudo.
Quadro 04 Avaliao qualitativa dos riscos
Muito Alto Muito Alto Alto 2.1, 4.2, 5.1, 3.2, 6.3 4.1 5.3 Alto Impacto Mdio Baixo Muito Baixo

66
Probabilidade 5.2, 5.4, 6.2 Mdio Baixo Muito Baixo 3.1, 6.6, 10.1 1.1, 10.2 6.5, 8.1 3.3 5.5 2.2 2.3, 5.6, 6.1, 6.4

4.2.3 Quantificao dos Riscos

O processo de quantificao do riscos encontrados na SINART foi elaborado em conformidade com os resultados obtidos na etapa de qualificao dos riscos. Sendo assim, foi elaborado um modelo para a classificao dos riscos encontrados mediante a sua probabilidade e impacto, com a finalidade de quntificar os riscos de acordo com cada categoria constituda. Este modelo de classificao dos riscos encontrados na SINART fundamentado em trs nveis de risco, conforme o seu grau de criticidade: Baixo, valore entre 1 (um) e 3 (trs), que requer o controle para garantir que no aumente. Mdio, valore entre 4 (quatro) e 6 (seis), necessrio a monitorao ativa e reduo de risco quando for possvel. Alto, valor acima de 7 (sete) h a necessidade de executar algumas aes para reduzir a probabilidade ou impacto do risco. Na tabelas 03 esto representadas as analises quantitativas do ricos encontrados na SINART, fundamentadas no impacto e probabilidade desses riscos para esta.

Tabela 03 Anlise Quantitativa dos Riscos.

Categoria Segurana organizacional Classificao dos ativos Segurana em recursos humanos Segurana fsica e do ambiente Gesto das operaes e comunicao Controle de acesso Desenvolvimento e manuteno de sistemas de informao

Rico Alto 1 1 3 1

Rico Mdio 1 1 3 1 1 3

Risco Baixo 1 1 2

67 Gesto de incidentes Gesto de continuidade de negcios Conformidade Total 1 6 2 13 4

4.2.4 Matriz de Ao dos Riscos identificados

Aps a identificao dos riscos, quantificao e qualificao dos mesmos, foi desenvolvido uma matriz de ao de risco com a finalidade de estabelecer as respostas a serem adotada para os riscos identificados. Foi adotado como critrio de aes a anlise / avaliao dos riscos identificados na SINART as aes: aceitar, evitar e transferir. Para a ao aceitar, a medida a ser realizada foi no fazer nada, pois as consequencias tem um custo menor que a soluo a ser adotada para reduzir ou eliminar tal risco. J para a aco evitar foi realizada a medida de gerenciar ou monitorar o risco com a finalidade de reduzi-lo. Para ao transferir o risco, foi adotado como medida, terceirizar parte do risco utilizando mo de obra de terceiros. A representao da matriz de ao dos riscos identificado na SINART est mostrado no quadro 05. Todos os riscos de cada categoria devem ser tratado utilizando metodos e procedimento de segurana, com a finalidade de reduzi-lo a um nivel aceitavel. J com relao aos riscos ao qual a ao tomada foi a terceirizao, fundamentada na necessidade do acompanhamento de uma empresa especializada no monitoramento e manuteno de equipamentos criticos indispensveis para o andamento dos processos da SINART.

Quadro 05 Matriz de ao dos riscos.

Categoria 1. Segurana organizacional 2. Classificao dos ativos 3. Segurana em recursos humanos

ID.Risco 1.1 2.1 2.2 2.3 3.1 3.2 3.3

Nivel do Risco MEDIO ALTO MEDIO BAIXO MEDIO MEDIO MEDIO

Ao REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR

68 4. Segurana fsica e do ambiente 4.1 4.2 5.1 5.2 5.3 5.4 5.5 5.6 6.1 6.2 6.3 6.4 6.5 6.6 ----8.1 --10.1 10.2 MEDIO ALTO ALTO ALTO MEDIO ALTO BAIXO BAIXO BAIXO ALTO MEDIO BAIXO MEDIO MEDIO ----MEDIO --MEDIO MEDIO REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR TRANSFERIR REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR REDUZIR ----REDUZIR --REDUZIR REDUZIR

5. Gesto das operaes e comunicao

6. Controle de acesso

7. Desenvolvimento e manuteno de sistemas de informao 8. Gesto de incidentes 9. Gesto de continuidade de negcios 10. Conformidade

4.2.5 Elaborao do Modelo da Politica de Segurana da Informao para a SINART.

Atualmente, na SINART no h formalemente um documento de politica de segurana da informao que funcione como um instrumento divulgador dos principios de segurana da SINART para todos os seus agentes envolventes, todos aqueles que fazem parte do prcesso de negcio da SINART. Diante deste cenrio, a direo da SINART j estuda a possibilidade de aprovar um modelo como proposta de politica de segurana da informao. Sendo assim, a finalidade de elaborar, neste trabalho, um modelo como proposta de politica de segurana da informao visa um complemento para a organizaao como um todo. No entanto por ser um modelo algumas etapas precisaram se melhoradas e complementadas. Para a elaborao do modelo da politica de segurana do trabalho proposto, foi utilizado as normas ABNT NBR ISSO/IEC 17799:2005 e ABNT NBR ISSO/IEC 27001:2006 como principal referncia.

69 O documento que representa o modelo como proposta de politica de segurana da informao para a SINART est descrito no Apendice E.

CONSIDERAES

70 A adoo de uma politica de segurana da informao pela SINART teve como objetivo criar um padro de conduta para os seus agentes envolvidos, com a finalidade de reduzir e/ou elimenar os seus riscos, mediante os seus processos organizacionais. Na elaborao deste trabalho algumas dificuldades foram encontradas, perante as etapas para a elaborao da politica de segurana da informao. Abaixo esto listadas algumas difuiculdades enfrentadas: A obteno das respostas para o questionrios: Muitos funcionrios se negaram a preencher o questnrio. Como foi feito entrevista com os gestores de cada departamento, pode-se obter muitas informaes importanetes para a elaborao do trabalho. Estapa de identificao, quantificao e qualificao dos riscos. Dificuldades com as tomadas de deciso. Foi crucrucial nessa etapa o acompanhamento e apoio de uns dos funcionrio do departamento de tecnologia da informao. No fornecimento de algumas informaes critica e sigilosas da SINART. Devido ao sigilo e alteraes de algumas informaes, ficou impossivel de levantar um estudo mais detalhado e coeso com o ambiente da SINART. Como houve limitaes na elaborao do modelo de plitica de segurana de informao como proposta para a SINART, recomendado para trabalhos futuros: Fazer a etapa de identificao, qualificao e quantificao dos riscos para os requisitos: Desenvolvimento e manuteno de sistemas de informao e Gesto de continuidade de negcios. Implantar a poltica de segurana da informao na SINART.

REFERENCIAS

71 ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISSO/IEC 17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT, 2005. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISSO/IEC 27001:2006 Tecnologia da informao Tcnicas de segurana Sistema de gesto de segurana - Requisitos. Rio de Janeiro: ABNT, 2005. ALVES, Gustavo Alberto. Segurana da Informao Uma Viso Inovadora da gesto. Rio de Janeiro: Editora Cincia Moderna Ltda., 2006. BEAL, Adriana. Segurana da Informao: Princpios e Melhores Prticas para a Proteo dos Ativos de Informao nas Organizaes. So Paulo: Editora Atlas, 2005. BRASILIANO, Antonio Celso Ribeiro. Analise de Risco. Revista Eletrnica Brasiliano e Associados. N 20, Set. / Out. 2005. Disponvel em: <http://www.brasiliano.com.br/ revistas/edicao_20.pdf>. Acessada em: 02 set. 2008 s 18hs35min. BRASILIANO, Antonio Celso Ribeiro. Anlise de risco corporativo: mtodo brasiliano. So Paulo: Editora Sicurezza, 2006. CARUSO, Carlos Alberto Antnio; STEFFEN, Flavio Deny. Segurana em informtica e de informao. 2 edio. So Paulo: SENAC, 1999. CHIAVENATO, Idalberto. Introduo Teoria Geral da Administrao. 6 Edio. Rio de Janeiro: Campus, 2003. COUTINHO, Josefina Maria Fonseca. Informao, conhecimento e interao: o trinmio da gesto da comunicao organizacional. UNIravista, Rio Grande do Sul, vol. 1, n 3, jul. 2006. Disponvel em: <http://www.unirevista.unisinos.br/pdf/UNIrev_Coutinho.PDF>.

Acesso em: 30 jul. 2008 s 15hs17min.

72 DAVENPORT, T. H. Reengenharia de processos. Rio de Janeiro, Campus, 1994. DIAS, C. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel, 2000. FIGUEIREDO, Renato Luiz Fernandes de. Proposta de Poltica de Segurana da Informao voltada para uma Instituio de Ensino Superior Especifica. Salvador: FIB, 2007. FONSECA, Fernando. Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 1 Introduo Segurana da Informao - Microsoft TechNet Brasil, 2006a. Disponvel em: <https://www.technetbrasil.com.br/academia2007/segurana/Secure/ mod1_ 1.aspx> Acesso em: 07/05/2008 s 10h25min. FONSECA, Fernando. Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 2 Conceitos de Anlise de Risco - Microsoft TechNet Brasil, 2006b. Disponvel em: <https://www.technetbrasil.com.br/academia2007/seguranca/Secure/Mod1 _2.aspx> Acessado em: 11 set. 2008 s 10h20min. FONSECA, Fernando. Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 3 A Poltica de Segurana - Microsoft TechNet Brasil, 2006c. Disponvel em: <https://www.technetbrasil.com.br/academia2007/segurana/Secure/Mod1_3.aspx>

Acesso em: 07/05/2008 s 10h25min. FLEURY, Andr. Como dados de pases e empresas se transformam em informao. Disponvel em: <www.modulo.com.br>. Acessado em: 21 de Julho de 2008. FROTA, Cristiane Souto. PANTOJA, Ricardo Rodrigues. Teoria da Criao do Conhecimento Organizacional Nonaka e Takeuchi. 2004. Disponvel em: <http://portal. portaltwservices.com.br/portal/page/portal/PortalTWServices/Comunica %C3%A7%C3%A3o/Artigos

73 %20Publicados/ListaArtigosPublicados/PDF_Artigo_Teoria_Nonaka_Takeuchi.pdf>. Acessado em: 28/08/2008 s 22hs28min. GONALVES, Luiz Rodrigo de Oliveira. O surgimento da Norma Nacional de Segurana de Informao [NBR ISO/IEC-1779:2001]. 2004. Disponvel em: em: <http:// s

www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85>. 22h15min.

Acessado

29/05/2008

JNIOR, Nayron Bulhes Barbosa. Conhecimento Organizacional: Um Nomo Paradigma, 1997. Disponvel em: <http://www.abepro.org.br/biblioteca/ ENEGEP1997_T6111.PDF>. Acessado em: 28/08/2088 s 21hs35min. LAGE, Epaminondas de Souza. Pesquisa revela falta de padres de segurana em grandes empresas, 2002. Disponvel em: <http://www.planetarium.com.br/planetarium/

noticias/2002/4/1018531703> Acessado em: 15/08/2008 s 13hs27min. LOUREANO, Marcos. Gerenciamento de Risco, 2004. Disponvel em: <

http://www.mlaureano.org/aulas_material/gst/gst_cap_09_v1.pdf>. Acesso em: 13 set. 2008 s 12hs10mn. MAIA, Marco Aurlio. A importncia da segurana fsica nas empresas. Disponivel em: <http://allameda.locaweb.com.br/app/site/artigos_detalhes.asp?id=527>. Acessado em: 08 nov. 2009 as 21hs03min. MARTINS, Jos Carlos Cordeiro. A Gesto de Projeto de Segurana da Informao. Rio de Janeiro: Brasport, 2003. MCLUHAN, Marshall. Os Meios de Comunicao como Extenses do Homem. So Paulo: Editora Cultrix, 1995.

74 MDULO. 10 Pesquisa Nacional de Segurana da Informao. 2006. Disponivel em: <http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>. Acesso em: 09 set. 2008 s 21hs59min. NAKAMURA, Emilio Tissato. GEUS, Paulo Lcio de. Segurana de Redes em Ambientes Cooperativos. So Paulo: Novatec Editora, 2007. NONAKA, Ikujiro. TAKEUCHI, Hirotaka. Criao de conhecimento na empresa. Rio de Janeiro: Editora Campus, 1997. Traduo: Ana Beatriz Rodrigues, Priscila Martins Celeste. NONAKA, I. & TAKEUCHI, H. The Knowledge Creating Company: How Japanese Companies Create The Dynamics of Innovation. Oxford University Press, Oxford, New York, (1995). NUNBERG Geoffrey. Timeline of the History of Information, 2002. Disponvel em: <http://people.ischool.berkeley.edu/~nunberg/timeline.html>. Acessado em: 10/04/2008 s 13h47min. PEIXOTO, Mrio Csar Pintaudi. Engenharia social e segurana da informao na gesto corporativa. Rio de Janeiro: Brasport, 2006. PMBOK, Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos, 2004. Uma Norma Nacional Americana. ANSI/PMI 99-001-2004. PRADO, Larissa. Quatro passos no gerenciamento de riscos, 2001. Disponvel em: <www.modulo.com.br>. Acesso em: 11 set. 2008. PROMON, Business Technology Review. Segurana da informao: um diferencial determinante na competitividade das corporaes. Disponvel Acesso em:<http://www.promon.com.br/portugues/noticias/download/Seguranca_4Web.pdf>. em: 16 set. 08 s 22hs51min.

75 RAMOS, F. F. Informao: classificar preciso, 2006. Disponvel em:

<http://www.malima.com.br/article_read.asp?id=338>. Acesso em: 09 set. 2008 s 21hs14min. REIS, Bruno. MOTA, Jimmy Costa. OLIVEIRA, Patryck Pabllo Borges de. Classificao da Informao. 20hs57min. SANTOS, Enrique Souza. Uma Proposta de Segurana da Informao para Micros e Pequena Empresas. Salvador: FIB, 2007. SMOLA. Marcos: Gesto da Segurana da Informao: Uma viso executiva da informao aplicada ao Security Solutons S. A. Rio de Janeiro. Elsevier, 2003 4 Reimpresso. SMOLA, Marcos: Classificar preciso. Coluna Firewall IDGNow, Jul, 1999. Disponvel em: <http://www.semola.com.br/disco/Coluna_IDGNow_07.pdf>. Acesso: 09 set. 2008 s 20hs27min SIANES, Marta. Compartilhar ou proteger conhecimentos? Grande desafio no comportamento informacional das organizaes. In: Starec, Cludio. Gomes, Elisabeth. Bezerra, Jorge (org.). Gesto estratgica da informao e inteligncia competitiva. So Paulo: Saraiva 2005. SETZER, V.W. Os Meios Eletrnicos e a Educao: Uma Viso alternativa. So Paulo: Editora Escrituras, Coleo Ensaios Transversais Vol. 10, 2001. SILVA, Valflvio Bernardes. Impacto na Implantao de Politica de Segurana da Informao na Nova Nordisk Produo Farmacutica do Brasil. Minas Gerais: UNIMONTES, 2005. SIMES, R. P. 1993. Relaciones Publicas: Funcion Politica. Barcelona, Consejo Superior de Comunicacin Y Relaciones Pblicas de Espanha. Distrito Federal, UCB, 2003. Disponvel em: <http://www.lyfreitas.com/artigos_mba/artclassinfo.pdf>. Acesso em: 09 set. 2008 s

76 SOMMERVILE, Ian. Engenharia de Software. So Paulo: Pearson Addison Wesley, 2003. 6 edio. Traduo: Andr Mauricio de Andrade. SPANCESKI, Francini Reitz. Poltica de Segurana da Informao Desenvolvimento de um modelo voltado para instituies de ensino. Joinville: Instituto Superior Tupy, 2004 STAIR, Ralph. REYNOLDS, Georg W. Princpios de Segurana da Informao. Rio de Janeiro: LTC, 2000. 4 Edio. Tradutor Alexandre Melo de Oliveira. WADLOW, Tomas A. Segurana de Redes: Projeto e gerenciamento de redes seguras. Rio de Janeiro: Campus, 2000. Traduo: Fbio Freitas da Silva

APNDICE A
ROTEIRO PARA ENTREVISTA (FUNCIONRIOS) 1) Qual o setor que voc trabalha? 2) Qual o seu cargo funcional na SINART? 3) Quanto tempo voc trabalha na SINART? E quanto neste cargo? 4) Em sua opinio, as obrigaes operacionais esto claramente definidas?

77 5) A SINART disponibiliza todos os recursos necessrios para a continuidade da sua tarefa? Explique. 6) O seu coordenador ou gerente fornece todas as orientaes para a continuidade das atividades? 7) Descreva com suas palavras o que segurana? 8) Como voc define as informaes importantes para a SINART? E como tratado a manipulao e armazenamento destas informaes? 9) Voc instrudo pelo seu coordenador ou gerente sobre a importncia da segurana em todos os processos funcionais do departamento? Explique. 10) Todos que tem acesso os ativos de informtica necessitam se identifica? 11) Voc j foi instrudo quanto a procedimentos de utilizao e uso de senha para acesse lgico aos sistemas de informao? Voc j forneceu sua senha para outros funcionrios? 12) Qual a sua relao funcional com outros setores da SINART? Descreva os aspectos que voc acha seguro e inseguro. 13) Como tratado o manuseio de equipamento no seu departamento? 14) Existe um meio de fiscalizao que impe a utilizao do equipamentos, como um inventrio? 15) Qual a periodicidade em que atualizado este inventrio e que tem acesso? 16) Como so tratados os outros inventrios no seu setor de trabalho? 17) Voc tem conhecimento das atividades que so atribudas aos funcionrios terceirizados? 18) Voc j instalou algum programa em seu terminal de trabalho sem a autorizao do seu coordenador ou gerente? Como realizado o controle de licenas de software? 19) Existe um bom relacionamento profissional entre os profissionais do seu setor de trabalho e o profissional do setor de tecnologia? Explique.

78 20) H adequada proteo quanto s portas de acesso, em termo de alcance do ambiente de segurana dos documentos de formato impresso e das mdias de formato digital? Explique. 21) Existe controle, fsico e lgico para preveno e deteco do uso indevido do hardware e software? 22) Voc esta satisfeito com a disponibilidade dos recursos lgicos da SINART responsveis pelo andamento das usas atividades? Estes recursos so utilizados devidamente? Explique. 23) Como feito o descarte das informaes em formato impresso e digital? 24) Existe conscincia dos funcionrios do seu departamento quanto os procedimentos de segurana de log-on e log-off?

APNDICE B
ROTEIRO DE ENTREVISTA (DIRETORES E GERENTES) 1) Qual o setor que voc lidera na SINART? 2) Descreva com suas palavras o que segurana? 3) Existe algum tipo de norma ou procedimento formal de segurana adotado pelo seu setor de trabalho? Quem so os agentes inclusos nesta formalidade? 4) Esto claramente definidas as obrigaes gerenciais no seu setor de trabalho, relacionado segurana, auditoria e controle de acesso fsico e lgico? Explique.

79 5) feito regularmente, auditoria de qualidade de segurana no seu setor de trabalho? 6) Os funcionrios efetivos e estagirios so treinados quanto aos procedimentos de segurana da SINART? 7) Existe um inventrio para os equipamentos e materiais que esto sendo manuseados? Como eles so tratados? 8) Existem outros inventrios no seu setor de trabalho? 9) Existe monitoramento para o acesso fsico e lgico no seu setor de trabalho? Explique como o seu funcionamento. 10) O estagirio do seu setor de trabalho tem acesso a informaes consideradas importantes? Quais so as medidas adoradas para que este evento no venha a acontecer? 11) Existe algum mecanismo seguro de distribuio de relatrio para evitar que funcionrio no autorizado pegue ou receba relatrios confidenciais?Explique. um

APNDICE C
ROTEIRO DE ENTREVISTA (GERENTE DE TECNOLOGIA) 1) Qual o setor que voc lidera na SINART? 2) Descreva com suas palavras o que segurana? 3) Existe algum tipo de norma ou procedimento formal de segurana adotado pelo seu setor de trabalho? Quem so os agentes inclusos nesta formalidade? 4) Esto claramente definidas as obrigaes gerenciais no seu setor de trabalho, relacionado segurana, auditoria e controle de acesso fsico e lgico? Explique.

80 5) feito regularmente, auditoria de qualidade de segurana no seu setor de trabalho? 6) Os funcionrios efetivos e estagirios so treinados quanto aos procedimentos de segurana da SINART? 7) Existem regras ou normas para gerao, uso e cancelamento de senhas? 8) Existe algum tipo de norma ou procedimento formal em relao segurana lgica que devam ser contempladas em nvel de sistema operacional, equipamento de rede? Explique. 9) Existe um inventrio para os equipamentos e materiais que esto sendo manuseados? Como eles so tratados? 10) Existem outros inventrios no seu setor de trabalho? 11) Existe monitoramento para o acesso fsico e lgico no seu setor de trabalho? Explique como o seu funcionamento. 12) O estagirio do seu setor de trabalho tem acesso a informaes consideradas importantes? Quais so as medidas adoradas para que este evento no venha a acontecer? 13) Existe algum mecanismo seguro de distribuio de relatrio para evitar que um funcionrio no autorizado pegue ou receba relatrios confidenciais?Explique.

81

APNDICE D

ESTRUTURA DOS RISCOS ENCONTRADOS NA SINART Categoria 1 - Segurana organizacional Risco 1.1. Falha resultante do no conhecimento de segurana, por parte dos gerentes, supervisores e colaboradores no que diz respeito proteo dos ativos. 2.1. Falha em relao disponibilidade dos estagirios aos ativos da informao considerados crticos para a SINAT. 2.2. Falha no processo de atualizao do inventrio dos ativos da informao. 2.3. Falha relacionada interveno de terceiros na execuo de processos que no lhe so atribudos. 3.1. Extravio ou copia de informao dispostas em formato digital por parte dos funcionrios. 3.2. Instalao ou utilizao de softwares no autorizados. 3.3. Falta de orientao profissional por parte de funcionrios efetivos e estagirios para executar determinadas atividades. 4.1. Falha de controle de acesso em determinados departamentos da SINART. 4.2. Falha no monitoramento dos inventrios relacionados aos materiais e equipamentos. 5.1. Falha de segurana devido disponibilidade indevida de documentos na impressora. 5.2. Perda de informao devido o transporte e tratamento de mdias de armazenamento. Tratamento Implanta um conjunto de diretrizes formalizadas, ressaltado o papel dos cargos de gerencia em relao a segurana dos seus ativos. Adotar mecanismo de conscientizao para cada funcionrio efetivo do ambiente sobre a importncia de cada ativo da informao para SINART Elaborar mecanismo que assegurem que os ativos da informao sejam inventariados de uma forma eficaz. Implantar mecanismo de monitoramento para estes terceiros e estabelecer clausulas que protejam legalmente a SINART. Implantar mecanismos de monitoramento de mdias e dispositivos mveis (pen driver) e auditoria peridica em todos os departamentos da SINART. Implantar mecanismos que bloqueiem a utilizao de software no autorizado. Fornecer treinamentos e acompanhamento profissional para os funcionrios e estagirios. Adotar mtodos e mecanismo de monitoramento constante e registro de entrada e sada. Implantao de mecanismos que possam controlar o uso dos equipamentos e materiais. Divulgar aos funcionrios efetivos sobre o recolhimento imediato de documentos impressos. Implantar mecanismo adequado para o transporte e tratamento de mdias de armazenamento.

2 - Classificao dos ativos

3 - Segurana em recursos humanos

4 - Segurana fsica e do ambiente 5 - Gesto das operaes e comunicao

82 5.3. Falha de segurana em funo do descarte inseguro das informaes sensveis para a SINART. 5.4. Perda de informaes devido fragilidade encontrada no sistema operacional. 5.5. Parada no programada de equipamentos crticos (switchs, impressoras, servidores, computadores) 5.6. Indisponibilidade de algumas informaes compartilhadas em rede para os funcionrios. 6.1. Falta de conscientizao dos funcionrios efetivos, terceirizados e estagirios em funo da importncia de fazer logoff ou bloquear a estao de trabalho quando os mesmos precisarem se ausentar. 6.2. Utilizao de senhas fracas. Disponibilizar equipamento adequado e orientaes corretas para descarte de documentos. Implantar mecanismo de backups constantes nos computadores que armazenam informaes sensveis para a SINART. Monitorar e efetuar manutenes preventivas periodicamente nestes equipamentos. Levantar os requisitos que ocasionam este evento e providenciar melhorias que evitem a ocorrncia deste acontecimento. Fornecer orientaes aos funcionrios efetivos, terceirizados e estagirios sobre as conseqncias negativas que esta ao pode causar. Prover um mecanismo no sistema que possibilite a criao de senhas com um nvel de proteo e possua um comunicado que conscientize os funcionrios efetivos, terceirizados e estagirios sobre a importncia destas senhas. Aplicar ao disciplinar ou conscientizar os funcionrios efetivos, terceirizados e estagirios. Fornecer orientao aos funcionrios efetivos, terceirizados e estagirios sobre as conseqncias negativas que esta ao pode causar. Registrar todos os nveis de permisso e privilgios de acesso lgicos no sistema de informao da SINART, de cada funcionrio, considerando o seu cargo e funo. Implantar mecanismos que impeam a execuo de aplicativos malficos a rede, monitore o acesso dos seus funcionrios efetivos, terceirizados e estagirios as ao destes. -----------------

6 - Controle de acesso

6.3. Compartilhamento de senhas entre funcionrios efetivos, terceirizados e estagirios. 6.4. Falta de conscientizao dos funcionrios efetivos, terceirizados e estagirios com relao a importncia do processo de desligar a estao de trabalho aps a sua utilizao. 6.5. Excesso de permisses e privilgios no sistema. 6.6. Uso indevido dos recursos de tecnologia da SINART (internet, email, downloads de filmes e musica).

7 -Desenvolvimento e manuteno de sistemas de informao

-----------------

83 8 - Gesto de incidentes 9 - Gesto de continuidade de negcios 8.1. Falta de comunicao estabelecida entre os funcionrios Implementar metodologia eficaz de comunicao entre os efetivos e o setor de tecnologia em caso de falha no sistema de funcionrios e o departamento de tecnologia em caso de algum informao. problema no sistema. ----------------10.1. Falha no monitoramento das licenas de software distribudo entre os departamentos. 10.2. Copia indevida de software pago por alguns funcionrios efetivos. ----------------Monitorar periodicamente o registro de todas as licenas obtida e descartadas pela SINART. Divulgao aos funcionrios efetivos sobre as sanes legais postas a cada software pago ou adotar aes disciplinar.

10 - Conformidade

84

APNDICE E
MODELO DE UMA POLITICA DE SEGURANA DA INFORMAO PARA A SINART 1. OBJETIVO O objetivo desta politica de segurana orientar as aes e procedimentos que garantam a continuidade do negcio da SINART. 2. CONCEITUAO Ativo Patrimnio e direitos da SINART. Criticidade Todo ativo da SINART considerado de extremamente importante para o andamento dos negcios. Cdigo malicioso Todo tipo de programa que executa aes maliciosas nos computadores. Custodiante Pessoa que cuida e manipula o ativo no dia-a-dia. Equipamentos e materiais Todos os ativos fsicos da SINART. Grau Designa nveis em uma determinada escala. Incidente de segurana Qualquer evento ou ocorrncia que venha a comprometer a integridade, autenticidade, ou a disponibilidade de qualquer ativo da SINART. Instalaes criticas ou sensveis So instalaes onde esto contidos os ativos crticos da SINART. Inventrio Corresponde a um registro de ativos disponveis. Mensagens eletrnicas o sistema de comunicao baseado no envio e recebimento de mensagens dispostas digitalmente. Responsabilidade So os deveres e obrigaes de qualquer individuo que ocupa determinada funo na SINART. Sensibilidade Todo ativo da SINART considerado importante e que exige grande cuidado para ser manipulado. Sistema de informao Sistema automatizado responsvel pela manipulao, transmisso e armazenamento dos ativos de informao da SINART. Terceiro Pessoa ou organizao que tenha uma relao comercial ou profissional coma a SINART.

85

Termo de confidencialidade Documento usual que contem informaes privilegiadas diretamente associadas a assegurar a no-divulgao, comia, disseminao ou qualquer uso indevido dos dados confidenciais do negcio. Valor Designa importncia de um determinado ativo. 2. SEGURANA ORGANIZACIONAL 6.1.COMPROMETIMENTO COM A SEGURANA DA INFORMAO 2.1.1. A direo deve esta ciente de todas as normas e procedimentos de segurana da informao que sero adotadas. 2.1.2. Deve haver o comprometimento do gestor responsvel de cada departamento com a poltica de segurana da informao, objetivando conscientizar os seu subordinados sobre a importncia da poltica. 2.1.3. O gestor de cada departamento e a direo tem a responsabilidade de executar as regras de proteo de acordo com a poltica de segurana da SINART. 2.1.4. O gestor e o encarregado de cada departamento so responsveis por supervisionar e controlar o comportamento dos usurios e a utilizao dos equipamentos. 2.1.5. Todo tipo de conduta por parte dos funcionrios e estagirios que prejudique os processos da SINART deve ser comunicado ao supervisor e/ou gerente do seu departamento. 3. GESTO DOS ATIVOS 3.1.INVENTRIO DE ATIVOS 3.1.1. O inventario de todos os ativos de processamento, armazenamento e transmisso devem ser registrados e mantidos atualizados, periodicamente pelo setor de tecnologia da informao. 3.1.2. O inventrio de toda a estrutura que funciona como base para o processamento, armazenamento e transmisso de informao de ser formalmente documentados, atualizados e mantidos, de forma a permitir registro histrico. 3.2. USO ACEITVEL DOS ATIVOS departamentos, devem ser mantidos trancados e sob controle de acesso.

3.2.1. Os ativos da informao que no esto representados digitalmente em todos os

86

3.2.2. A SINART no admite estagirio praticando atividades que venham a envolver a manipulao dos ativos de informaes consideradas crticos e sensveis pelo seu gestor responsvel. 3.2.3. A SINART no aceita terceiros praticando atividades fora das suas obrigaes que lhe foram contratadas. 3.3. PROPRIETRIO DOS ATIVOS dos ativos de informao. 3.3.2. O gestor de cada departamento responsvel garantir a execuo das regras e utilizao para os ativos de relativos ao seu departamento. 3.3.3. Cada custodiante dos ativos fsicos e da informao co-responsvel pelo mesmo. 3.4.CLASSIFICAO DA INFORMAO 3.4.1. A informao protegida conforme a sua sensibilidade, grau de critcidade e valor, determinado pelo gestor de cada departamento. 3.4.2. O gestor de cada departamento deve informar ao gestor de tecnologia da informao sobre o grau de criticidade e valor dos seus ativos de informao para a adequada manipulao e proteo. 4. SEGURANA DE PESSOAS 4.1.RESPONSABILIDADES DA DIREO 4.1.1. A direo deve assegurar os recursos necessrios para implementao das Polticas de Segurana. 4.1.2. A direo deve determinar os papeis e responsabilidades para todos os funcionrios da SINART referentes execuo de suas tarefas e a adequada segurana da informao. 4.1.3. A direo deve assegurar que todos os funcionrios estejam capacitados para execuo de suas tarefas. 4.1.4. A direo deve definir mtodos de treinamento e conscientizao referente ao manuseio e proteo dos ativos fsicos e da informao da SINART. 4.1.5. Garantir o cumprimento das Polticas de Segurana definidas neste documento. 4.2.RESPONSABILIDADE DOS GESTORES 4.2.1. O gestor de cada departamento deve implementar as aes de segurana definidas pela SINART.

3.3.1. O gestor de tecnologia responsvel por estabelecer as regras de proteo e utilizao

87

4.2.2. O gestor de cada departamento deve fiscalizar quanto a correta utilizao dos ativos fsicos e da informao pelos seus subordinados. 4.2.3. O gestor de cada departamento deve garantir que seus subordinados compreendam e desempenhem a obrigao de proteger os ativos fsicos e da informao da SINART. 4.1.RESPONSABILIDADE DOS FUNCIONRIOS E TERCEIROS 4.3.1. Todos os funcionrios e terceirizados que utilizam ativos fsicos e da informao devem assinar termo de responsabilidade, no momento de sua contratao. 4.3.2. Todos os funcionrios e terceirizados devem assinar termo de confidencialidade e manter sigilo das informaes consideradas sensveis e sigilosas da SINART. 4.3.3. Participar dos treinamentos referentes segurana da informao definidos pela diretoria. 4.3.4. Zelar pela conservao e proteo dos ativos fsicos e da informao em sua custdia. 4.3.5. Todos os funcionrios e terceirizados devem cumprir as Polticas de Segurana da SINART. 4.3.6. Todos os funcionrios devem comunicar formalmente a seus gestores qualquer irregularidade ou desvio de segurana. 5. SEGURANA FISICA E DO AMBIENTE 5.1.REA SEGURA 5.1.1. Os gestores de cada departamento devem determinar quais reas em seu departamento so consideradas criticas ou sensveis que precisem de controle de acesso quanto a segurana dos ativos fsicos e da informao. 5.1.2. Os ativos crticos ou sensveis da SINART devem ser fisicamente protegidos contra acesso no autorizado, interferncia ou detrimento. 5.2.CONTROLE DE ACESSO A AREA SEGURAS 5.2.1. O acesso as instalao criticas ou sensveis da SINART deve ser restrito apenas aos funcionrios devidamente autorizados. 5.2.2. O acesso de estagirios, visitantes e funcionrios de oustros departamentos nas instalaes criticam ou sensveis da SINART so autorizados pelo gestor do departamento.

88

5.2.3. O acesso as instalao criticas ou sensveis da SINART por funcionrios autorizados deve ser registrado com nome, data, hora e motivo em documentos e/ou sistemas prprios. 5.2.4. Em todos os departamentos onde esto presente os ativos crticos ou sensveis devem possuir sistema de monitoramento e deteco de intruso, para registro dos acessos fsicos. 5.3.SEGURANA PATRIMONIAL 5.3.1. Todos os departamentos da SINART devem estes munidos de equipamentos de segurana contra incndio. 5.3.2. Todos os departamentos da SINAT devem possuir iluminao de emergncia e sadas de emergncias estrategicamente posicionadas e sinalizadas. 5.1. SEGURANA FISICA DOS ATIVOS funcionrios com a finalidade de assegurar a proteo dos ativos fsicos para a sua operao segura e correta. 5.4.2. O inventrio dos ativos fsicos de cada departamento deve ser monitorado constantemente por seus respectivos gestores responsveis. 6. GERENCIAMENTO DAS OPERAES E COMUNICAES 6.1.PROCEDIMENTO PARA TRATAMENTO DA INFORMAO 6.1.1. Os funcionrios e terceiros devem proteger os recursos de processamento da informao da SINART, de tal modo a preservar a integridade dos ativos de informao. 6.1.2. Todos os procedimentos e operaes relativo a manipulao dos ativos devem ser documentados, atualizados e disponveis para todos os funcionrios que deles necessitam. 6.1.3. Os gestores de cada departamento da SINART devem orientar os seus funcionrios em no deixar os documentos crticos ou sensveis em equipamentos de impresso. 6.1.4. As informaes confidenciais da SINART no devem ser compartilhadas sem devidas autorizaes. 6.1.5. Os gestores de cada departamento da SINART devem adotar procedimento de controle adequado para o descarte seguro de informaes da SINART.

5.4.1. Os gestores de cada departamento da SINART devem supervisionar os seus

89

6.1.6. O gestor de tecnologia da informao da SINART deve adotar procedimento para recuperao dos sistemas de informao em caso de eventuais problemas. 6.2.GERENCIAMENO DE MIDIAS 6.3.1. Os gestores de cada departamento devem adotar mecanismos de controle que assegurem o transporte e tratamento confivel das mdias, assim como a sua manipulao, armazenamento, proteo e descarte que possuam os ativos de informao que venham a comprometer a imagem da SINART. 6.3.MENSAGENS ELETRNICAS 6.3.1. As mensagens utilizadas pelos funcionrios da SINART dever ser protegidas contra acesso no autorizados. 6.3.2. O setor de tecnologia deve garantir a disponibilidade, confidencialidade e integridade das mensagens enviadas pelos funcionrios da SINART. 6.3.3. O setor de tecnologia da informao da SINART deve assegurar que o correio eletrnico, provido aos funcionrios estejam protegidos de SPAM. 6.4.CPIAS DE SEGURANA DAS INFORMAES 6.4.1. As cpias de segurana que possuam os ativos de informao, no representados digitalmente, devem ser armazenadas de forma completa em um local protegido de acordo com o nvel de criticidade. 6.4.2. Cpias dos ativos de informao representados digitalmente devem ser armazenadas de forma segura em servidores de backup pelo setor de tecnologia da informao. 6.5. CODIGO MALICIOSO de cdigos maliciosos nos seus sistemas de informao e atualiz-los constantemente. 6.5.2. Todos os funcionrios da SINART devem ter conscincia da manipulao de arquivos que contenham cdigos maliciosos com a finalidade de prevenir a infeco desses nos sistema da organizao. 7. CONTROLE DE ACESSO 7.1. USO DE SENHAS acesso da SINART para os seus funcionrios.

6.5.1. O setor de tecnologia da informao da SINART deve incorporar software de deteco

7.1.1. Os gestores de cada departamento devem publicar e formalizar a poltica de controle de

90

7.1.2. Os gestores de cada departamento devem comunicar aos seus funcionrios as tcnicas para cadastramento de senhas fortes. 7.2. POLITOICA DE CONTROLE DE ACESSSO da SINART devem assinar um termo de compromisso de acordo com as legalidades impostas pela SINAT, para que possam ser posteriormente identificados e cadastrados no sistema de autenticao da organizao. 7.2.2. Os funcionrios de cada departamento devem possuir perfis de acesso diferentes para acesso lgico nos computadores da SINART. 7.2.3. As senhas de todos os funcionrios devem ser individuais, secretas e intransferveis. 7.2.4. Todos os funcionrios devem manter o carter sigiloso em relao s suas senhas de acesso lgico os computadores da SIANRT. 7.2.5. Os funcionrios que desobedecerem a poltica de controle de acesso da SINAR devem ser penalizados de acordo com os termos de conformidade da organizao. 7.3.GERENCIAMENTO DE SENHAS DO USURIO 7.3.1. Os sistemas de informao da SINART devem exigir um sistema de controle de acesso como forma de autenticao para o acesso lgico dos seus funcionrios e dos terceirizados. 7.3.2. As distribuies das senhas as funcionrios, terceirizados e estagirios devem ser de responsabilidades do gestor do setor de tecnologia da informao. 7.3.3. O setor de tecnologia da informao deve adotar mecanismos de controle de acesso que evitem que funcionrios, terceirizados e estagirios acessem contedos pornogrficos. 7.3.4. Todos os ativos de informao da SINART devem ser protegidos de acessos lgicos no autorizados. 7.3.5. O setor de tecnologia da informao deve disponibilizar aos seus usurios (funcionrios, terceirizados e estagirios) no cadastro da senha, um comunicado de alerta em situao de senhas fracas. 7.3.6. O sistema de controle de acesso deve solicitar uma nova autenticao aps 30 (trinta) minutos de inatividade da sesso. 7.3.7. Os usurios devem ser bloqueados aps 3 (trs) tentativas mal sucedidas de acesso ou aps 30 (trinta) dias sem acesso no sistema de controle de acesso.

7.2.1. Todos os usurios (funcionrios e terceiros) que requer acesso lgico aos computadores

91

7.3.8. O sistema de controle de acesso de permitir que os usurios possam trocar a sua senha sempre que precisar. 7.4.GERENCIAMENTO DE PRIVILGIOS 7.4.1. A autenticao de acesso lgico deve ser definida de acordo com os cargos e funes de cada funcionrio da SINART. 7.4.2. O acesso a internet pelos funcionrios da SINART deves ser fornecidos somente EME horrios de intervalo. 7.4.3. Os estagirios dos departamentos da SINART devem ter acesso lgico limitado. 8. GESTO DE INCIDAENTES 8.1.NOTIFICAO DE EVENTOS DE SEGURANA DA INFORMAO 8.1.1. O gestor do setor de tecnologia da SINART deve constituir e encaminhar procedimento especifica de notificaes formais de segurana para todos os gestores dos departamentos, relatando os eventos de segurana da informao em respostas a eventuais solues. 8.1.2. O gestor de cada departamento da SINART deve divulgar os procedimentos formais de segurana disponibilizados pelo setor de tecnologia da informao para seus funcionrios. 8.2. RESPONSABILIDADE E PROCEDIMENTOS quantificar e monitorar os incidentes de segurana da informao com a finalidade de poder estabelecer custos e determinar os tipos de incidentes mais freqentes. 8.2.2. O gestor de tecnologia da informao deve disponibilizar relatrios relacionados aos incidentes de segurana a direo da SINART. 9. CONFORMIDADE 9.1.DIREITOS DE PROPRIEDADE 9.1.1. Em todos os departamentos da SINART devem ser realizadas auditorias com a finalidade de verificar se todos os direitos inclusos na poltica de conformidade esto sendo respeitados. 9.1.2. O gestor de tecnologia da informao da SINART deve adotar um mecanismo de controle das licenas de software de toda a organizao.

8.2.1. O gestor de tecnologia da informao deve conseguir mecanismos adequados capazes de

92

9.2.

POLITICA DE CONFORMIDADE responsvel pelo departamento da tecnologia da informao.

9.2.1. No deve ser permitido q instalao de software sem a autorizao do gestor 9.2.2. Todos os softwares utilizados na SINART devem possuir licenas de utilizao de acordo com suas polticas e termo de utilizao. 9.2.3. Todos os funcionrios da SINART devem cumprir a poltica de segurana, sob pena de cair nos sanses disciplinares e legais cabveis estabelecidos pela direo da SINART.