Monografia apresentada ao Departamento de Cincia da

Computao da Universidade de Braslia

Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes

Ana Rosa Carvalho de Abreu

30/6/2010

- H milhes e milhes de anos que as flores

fabricam espinhos. H milhes e milhes de
anos que os carneiros as comem, apesar de
tudo. E no ser srio procurar compreender
por que perdem tanto tempo fabricando
espinhos inteis? No ter importncia a
guerra dos carneiros e das flores?
(Antoine de Saint-Exupery)

Ana Rosa Carvalho de Abreu

30/6/2010

Se, apesar de todo um aparato de

equipamentos de segurana fsica, para
proteger os seus bens, os bancos continuam
sendo alvo de furtos, no seria importante
descobrir porque eles continuam a se
comportar do mesmo modo? Onde estaro
falhando? Quais as relaes de causa e efeito
entre as variveis que influenciam a
concretizao de um evento negativo?

Ana Rosa Carvalho de Abreu

30/6/2010

Verificar a aplicabilidade e a efetividade das

normas de segurana da informao da ABNT, no
que concerne aos aspectos de segurana fsica, na
Administrao Pblica Federal.

Ana Rosa Carvalho de Abreu

30/6/2010

Anlise das normas tcnicas: NBR ISO/IEC

27001:2006,NBR ISO/IEC 27002:2005 e
NBR ISO/IEC 27005:2008
Anlise de variveis de segurana
apontadas nas normas.
Validar a utilizao dos requisitos de
segurana apontados na NBR ISO/IEC
27001:2006, junto a especialistas em
Gesto da Segurana da Informao.
Identificadas inter-relaes e relaes
causais entre as variveis estudadas.
Ana Rosa Carvalho de Abreu

30/6/2010

Descrio de Situao Problema

Reviso da Literatura especializada sobre o
assunto
Estudo de normas pertinentes.
Coleta de Dados com utilizao da Tcnica
Delphi com especialistas em Gesto da
Segurana da Informao
Entrevista semi-estruturada com Gerente da
rea de Segurana do BCB.

Ana Rosa Carvalho de Abreu

30/6/2010

A) Uma viso sistmica, no somente

de dentro da organizao, mas do
macro-sistema que a envolve, tornase necessria, para se definir a poltica
de segurana de uma instituio;
B) Seguir todos os itens de segurana
fsica, de forma isolada, no garante a
segurana fsica das organizaes;

Ana Rosa Carvalho de Abreu

30/6/2010

C) Funcionrios treinados em normas de

segurana so necessrios para diminuir a
vulnerabilidade nas organizaes
governamentais;
D) Um planejamento estratgico, com respaldo
da Administrao Superior, fundamentado em
uma Poltica de Segurana da Informao
elaborada de forma participativa e editada pela
autoridade maior da organizao forma o pilar
central para a segurana fsica das organizaes.

Ana Rosa Carvalho de Abreu

30/6/2010

Acesso ao pblico, reas

de entrega e carregamento

Permetro de
segurana

+ Area Segura
+

+
Proteo contra ameaas
externas e do meio ambiente

Ana Rosa Carvalho de Abreu

30/6/2010

Ana Rosa Carvalho de Abreu

30/6/2010

10

NBR ISO/IEC 27001:2006 e

NBR ISO/IEC 27002:2005
metodologia
processo definido
estruturada,
grupo completo de
para avaliar,
controles contendo
reconhecida
implementar,
internacionalmente,
as melhores prticas
manter e gerenciar a
para segurana da
dedicada
segurana da
segurana da
informao.
informao;
informao;

Ana Rosa Carvalho de Abreu

30/6/2010

11

NBR ISO/IEC
27001:2006

NBR ISO/IEC
27002:2005

apresenta requisitos de
sistema

cdigo de prticas

utilizada como padro para

a realizao de auditorias de
certificao

utilizada para orientao

durante o desenvolvimento
e implantao do sistema de
gesto de segurana da
informao

Ana Rosa Carvalho de Abreu

30/6/2010

12

NBR ISO/IEC 27001: 2006

processo
sistemtico para
fortalecimento do
controle interno de
segurana da
informao. Cobre
todos os tipos de
organizaes;

especifica os
requisitos para
estabelecer,
implementar,
operar, monitorar,
analisar
criticamente,
manter e melhorar
um SGSI
documentado;

especifica requisitos
para a
orienta como
implementao de
elaborar uma matriz
controles de
de riscos e
segurana
identificar e
personalizados para
implantar controles
as necessidades
para minimizar
individuais de
estes riscos
organizaes ou
suas partes;

Ana Rosa Carvalho de Abreu

30/6/2010

13

NBR ISO/IEC 27002:2005

Os objetivos de
estabelece diretrizes e controle e os controles
princpios gerais para
tm como finalidade
apresenta 11 clusulas
iniciar, implementar,
ser implementados
de controle de
manter e melhorar a
para atender aos
segurana de A5 a A15
gesto de segurana da requisitos identificados
e 133 controles;
informao em uma
por meio da
organizao;
anlise/avaliao de
riscos;

Ana Rosa Carvalho de Abreu

considera segurana
fsica, tcnica,
procedimental e em
pessoas.

30/6/2010

14

Confidencialidade
garantir que
apenas as pessoas
que devam ter
conhecimento a
respeito de uma
informao
possam ter acesso
a ela.

Integridade
proteger as
informaes
contra alteraes
em seu estado
original. Essas
alteraes podem
ser tanto
intencionais
quanto acidentais.

Disponibilidade
garantir que a
informao possa
ser acessada por
aqueles que dela
necessitarem, no
momento em que
dela precisarem.

Ana Rosa Carvalho de Abreu

30/6/2010

15

Artigo 144 da Constituio Federal de 1988

A segurana pblica, dever do Estado, direito e responsabilidade

de todos, exercida para a preservao da ordem pblica e da
incolumidade das pessoas e do patrimnio.
Lei n. 7.102, de 20 de junho de 1983

Dispe sobre segurana para estabelecimentos financeiros,

estabelece normas para constituio e funcionamento das
empresas particulares que exploram servios de vigilncia e de
transporte de valores
Lei n. 8.863, de 28 de maro de 1994

Altera o artigo n. 10 de da Lei n 7.102 e define a categoria do

vigilante.

Ana Rosa Carvalho de Abreu

30/6/2010

16

Evento
desfavor
vel
Elementos
que
definem o
risco
Probabilidade
de ocorrncia

Perodo de
tempo

Ana Rosa Carvalho de Abreu

30/6/2010

17

Definio do
Contexto

Anlise/Avaliao
de Riscos

Objetivos, polticas e estratgia

Identificao de riscos

Processos e estrutura

Identificao dos ativos

Requisitos legais e normativos

Poltica de segurana e ativos de
informao
Abordagem da Gesto de risco
Caractersticas geogrficas
Restries que afetam a
organizao e expectativas das
partes interessadas
Ambiente sociocultural e
interfaces (ou seja, a troca de
informaes com o ambiente).

Identificao das ameaas

Identificao dos controles
existentes
Identificao das
vulnerabilidades
Identificao das
conseqncias

Estimativa de riscos
Avaliao de riscos

Ana Rosa Carvalho de Abreu

30/6/2010

18

Como as organizaes
governamentais entendem a
atividade de segurana da
informao?

Como a adoo das normas

de segurana da informao
da ABNT podem contribuir
para o aperfeioamento das
atividades de segurana fsica
nessas instituies?

Ana Rosa Carvalho de Abreu

24/06/2010

19

Pessoas selecionadas

21

1 rodada
2 rodada
3 rodada

19 pessoas
15 pessoas
13 pessoas

Entidades APF

14

Datas das rodadas

19 a 26 de abril de 2010
03 a 11 de maio de 2010
12 a 17 de maio de 2010

Ana Rosa Carvalho de Abreu

24/06/2010

20

Questionou-se se o mecanismo de cmeras de segurana poderia ter

sido uma vulnerabilidade no caso do furto ocorrido nas dependncia
do BCB em Fortaleza.

Exemplo de resposta que representa a maioria dos respondentes:

Deve ser avaliado o processo como um todo: anlise do ambiente
externo, anlise do ambiente interno, escolha do equipamento,
monitorao, gravao, anlise, auditagem. A ineficincia est nas
anlises compartimentalizadas.

Ana Rosa Carvalho de Abreu

30/6/2010

21

Questionou-se se: uma estrutura de proteo adequada das

instalaes, impedindo o acesso a pessoas no autorizadas ao recinto,
impediria o incidente de segurana fsica no BCB em Fortaleza. E
obteve-se respostas como:
O que evita incidentes realmente so polticas de segurana bem
implantadas, com os respectivos procedimentos formalizados,
auditados e atualizados.
importante fortalecer, alm da estrutura das instalaes, os laos de
confiana entre as pessoas e a organizao. O indivduo preciso ter
noo de pertencimento clarificada da sua empresa, como um
sistema social que o considera.
O que confirma as hipteses A, B e C

Ana Rosa Carvalho de Abreu

30/6/2010

22

Questionou-se se falta de treinamento e conscientizao dos

funcionrios pode ter sido uma das causas do desencadeamento do
incidente de segurana.
Obteve-se as respostas:
No possvel cobrar ou at mesmo responsabilizar funcionrios
no treinados, e em um ambiente sem programa de conscientizao.
O treinamento e a conscientizao devem fazer parte de um
programa maior de segurana da informao.
A segurana formada por vrias reas que tm que ser modeladas
e gerenciadas. a eficcia harmnica das diversas reas que torna o
sistema eficaz. No adiantaria ter excelncia em uma das reas de
segurana e ser negligente com as outras reas relacionadas."

Ana Rosa Carvalho de Abreu

30/6/2010

23

Aps a anlise dos resultados da pesquisa

observou-se a confirmao das hipteses,
ou seja: H a necessidade de
planejamento estratgico, com respaldo
na Administrao Superior, fundamentada
em uma Poltica de Segurana da
Informao, elaborada com a participao
de funcionrios treinados e conscientes
da sua importncia para a segurana da
informao da organizao.

Ana Rosa Carvalho de Abreu

30/6/2010

24

Viso Sistmica

Criao de uma rea estruturada como departamento na

sede, com gerncias tcnicas nas praas onde atua;
Troca de experincias com organismos de outros pases.

Definio dos perfis mnimos de competncia que devem

ser detidos pelos servidores;

Funcionrios
Treinados

Planejamento
Estratgico

Estabelecimento do plano de desenvolvimento para os

servidores;
Alocao de um quadro de pessoal adequadamente
dimensionado.

Reformulao dos Planos da rea de segurana

Ana Rosa Carvalho de Abreu

30/6/2010

25

As atividades de segurana
devem ter carter
permanente;

O enfoque deve ser sistmico e

preventivo, sem prejuzo de
medidas necessrias para a
resposta e controle de incidentes;

As atividades/aes devem
ser desenvolvidas sempre
numa perspectiva
integrada e corporativa.

Ana Rosa Carvalho de Abreu

30/6/2010

26

Trabalhos futuros

Utilizao das tcnicas de cenrios e

sistemas dinmicos para estudar um
melhor aproveitamento, aplicabilidade e
efetividade das normas NBR ISO/IEC
27001:2006, NBR ISO/IEC
27002:2005:2005 e NBR ISO/IEC
27005:2008 na Administrao Pblica
Federal Brasileira.

Ana Rosa Carvalho de Abreu

24/06/2010

27

Uma pessoa inteligente

resolve um problema,
um sbio o previne.

Albert Einstein

Obrigada!

Ana Rosa Carvalho de Abreu

24/06/2010

28