A Constante Evoluo Da Segurana Da Informao

Vanderson C. Siewert
Departamento de ps-graduao Faculdade de Tecnologia do SENAI de Florianpolis
(CTAI Florianpolis)
Curso de especializao em gesto da segurana da informao em redes de
computadores - Ps-graduao Lato Sensu

vandersoncs@gmail.com

Resumo: Este artigo trata de fundamentos de segurana da informao, da
evoluo, da preocupao com as informaes das corporaes e
instituies e da sua segurana.

1. Introduo

Com o grande crescimento da rede mundial de computadores, a Internet, houve
tambm um crescimento contnuo de transaes eletrnicas, configurando uma espcie
de um novo mundo, o mundo digital. Correspondncias eletrnicas particulares,
transaes comerciais, bancrias, entre outras, passaram a ser freqentes no mundo
atual, principalmente devido globalizao do mercado. Este rpido crescimento trouxe
tona um problema, a gesto da informao, que se preocupa em administrar as
informaes que navegam nas redes de computadores, e tambm a segurana das
informaes que so trocadas entre usurios e aplicaes.
Com o tempo os as informaes ficaram cada vez mais vulnerveis. Visando
resolver estes problemas, a partir da dcada de 1940, surgiram algumas normas tcnicas
que tratam de boas prticas e controles internos de Tecnologia da Informao (TI). As
normas mais conhecidas e implementadas so: ITIL, Cobit, BS15000 e ISO 20000. As
normas especficas de segurana da informao so: BS7799, ISO/IEC FDIS
17799:2005(E) e ABNT NBR ISO/IEC 17799:2005.
No decorrer do artigo, ser abordado o que cada norma trata e quais os rgos
responsveis por elas. Tambm ser discutido qual norma que melhor se enquadra,
conforme o objetivo a ser atingido e o seu impacto nas organizaes.
O artigo ser apresentado em forma de sees sendo dividido em 7 tpicos: 1.
Introduo; 2. A informao e a segurana da informao; 3. Gesto da segurana da
informao; 4. Normas; 5. Evoluo e normas da segurana da informao; 6.
Comparao entre normas e 7. Concluso.

2. A informao e segurana da informao

Desde os primrdios o ser humano tem a necessidade de informao, seja ela
visual, escrita, falada ou at mesmo no pensamento, para poderem se comunicar e
evoluir. A questo da segurana da informao algo um pouco mais recente, que foi
utilizado com muita evidncia, principalmente em tempos de guerra, como foi o caso da
segunda guerra mundial, onde os inimigos utilizavam tcnicas de criptografia, para
escreverem mensagens para os outros postos de guerra.
Conforme Campos (2006), na dcada de 1940 j havia a preocupao de
responder a pergunta: o que informao? Para esse mesmo autor, o principal marco da
preocupao com a pergunta foi a publicao do artigo The mathematic Theory of
communication urban, escrito por Shannon e Weaver, que deu origem a uma nova
cincia, a cincia da informao. Mas somente a partir de 1960, este termo foi
largamente utilizado.
Segundo o dicionrio Aurlio, informao o conjunto de dados acerca de
algum ou de algo. Sendo assim pode-se dizer que a informao a interpretao destes
dados, pois de nada vale um conjunto de dados sem fazer a interpretao para se extrair
o conhecimento. Estas informaes podem estar armazenadas em forma impressa, em
mdias (CD-ROM, discos rgidos, pen-drivers, etc), na mente das pessoas, entre outras.
Segundo Dias (2000), segurana proteger as informaes, sistemas, recursos e
servios contra erros, manipulao no autorizada e desastres para garantir a reduo do
impacto e diminuir a probabilidade de incidentes de segurana. Portanto, foi necessrio
gesto da segurana da informao para resolver os problemas encontrados, com o
menor impacto possvel nas aes necessrias s informaes. Mas a segurana dever
ser proporcional ao valor da informao que se quer proteger, ou seja, o custo da
implantao da segurana tem que ser inversamente proporcional ao valor da
informao.
A definio de informao de forma geral igual para todas as reas, pois
informao so dados referenciais, ou seja, com informaes pertinentes a algum ou
algo, isto quer dizer que qualquer formulrio com os dados de um paciente, por
exemplo so um conjunto de informaes, porm se este formulrio estiver nas mos de
uma criana, que no compreende o contedo dos dados, ela no ter informao
alguma do paciente.
A segurana algo mais especfico de cada rea, por exemplo, um policial
rodovirio tem em sua mente que segurana dirigir durante o dia sem ingesto de
bebida alcolica, j para um pai de famlia segurana sinnimo de muro alto em volta
de casa, entre outros. Mas na rea de tecnologia da informao, que dividida em
macro reas como, por exemplo, a segurana da informao, garantir a integridade,
disponibilidade e confidencialidade dos ativos e das informaes que so os princpios
bsicos da segurana da informao. Sendo estes respeitados e mantidos sobre controle,
a segurana da informao est garantida e com respostas aos incidentes de segurana
que possam acontecer. Com estas definies pode-se dizer que muito difcil manter e
gerenciar a segurana da informao, para resolver este problema foi necessria a
criao de outra rea dentro da segurana da informao, a gesto da segurana da
informao.

3. Gesto da segurana da informao

Com o alto fluxo de informaes sendo distribudas a todo momento nas
empresas principalmente em meios eletrnicos (e-mail, sites, programas peer-to-peer,
ftp, etc), houve a necessidade de gerenciar como e de que forma estas informaes so
tratadas e distribudas. Para este fim surgiu um novo conceito, que chamamos de gesto
da segurana da informao.
A gesto da segurana da informao no trata somente os meios eletrnicos de
disseminao da informao, mas tambm trata as formas de como criar a cultura de
segurana da informao nos usurios de tecnologia das empresas, para fazer isto da
forma mais abrangente possvel utilizada uma ferramenta chamada sistema de
segurana da informao (SGSI), que trata todos os procedimentos de como est sendo
garantida a segurana e quais so os planos caso uma quebra de segurana seja
encontrada.
Conforme Campos (2006), o sistema de gesto da segurana da informao se
baseia em trs princpios bsicos. Se um destes princpios for desrespeitado em qualquer
momento, caracteriza a quebra da segurana da informao, o que tambm conhecido
como incidente de segurana.
Os princpios bsicos so descritos a seguir:

Confidencialidade: garantir o segredo das informaes, liberando acesso
somente s pessoas autorizadas;
Integridade: garantir que a informao no foi alterada indevidamente, ou seja,
confivel;
Disponibilidade: garantir a disponibilidade da informao, sempre que
necessrio s pessoas autorizadas;

Garantir os princpios bsicos mesmo com a gesto da segurana da informao,
no tarefa fcil, considerando que a tecnologia uma ferramenta para auxiliar na
gesto da segurana e no a soluo para os problemas. Esses princpios so de vital
importncia para a segurana da informao, se eles forem preservados, a segurana da
informao ser garantida e no haver nenhum registro de incidentes de segurana. o
que coloca Serafim (2002), os incidentes de segurana que podem quebrar os princpios
bsicos so:

Quebra da confidencialidade: pode ser causado por uma tcnica conhecida como
engenharia social, onde um sujeito utiliza mtodos de convencimento e sugesto
para induzir uma pessoa, que conforme Varela (2006), o elo mais fraco da
segurana da informao, a quebrar um protocolo ou procedimento de
segurana;
Quebra de integridade: pode ser causado por uma alterao da informao,
intencional ou no, em registros de banco de dados, principalmente em
migraes, na falsificao de um documento, deixar cair lquidos em cima de
documentos ou qualquer mdia eletrnica, entre outros;
Quebra de disponibilidade: pode ser causado por roubo de um recurso ou
documento, sistemas de computador indisponveis, servidores inoperantes, entre
outros;

As empresas esto sujeitas a quebra dos princpios bsicos de segurana a todo
momento, acima foram mencionadas somente alguns casos de incidentes de segurana.
Os pontos principais a serem abordados so a cultura da segurana e o foco no negcio
das empresas, onde devem ser feitos trabalhos de conscientizao e treinamento entre os
usurios e profissionais de segurana. o que coloca Albuquerque (2006), a tecnologia
disponvel para garantir a segurana da informao no eficaz se o foco for somente a
tecnologia e no o objetivo de negcio das corporaes. A equipe responsvel dever ter
o foco em processos do negcio para no se tornar uma refm da tecnologia, e quem
faz a administrao da mesma a equipe de infra-estrutura e de TI. O profissional de
segurana dever ser um especialista-generalista.
Segundo o Instituto OnLine (2006), com estas novidades em segurana da
informao surge o dilema: Como permitir acesso informaes aos usurios
autorizados e ao mesmo tempo como negar o acesso aos no autorizados? Este
questionamento nos leva a outro: O que devemos proteger, de quem e como?
Para isto surgiram as normas que ajudam a formular, por exemplo, uma poltica
de segurana da informao, uma poltica de utilizao de ativos, padronizao de
procedimentos, aplicao de mecanismos de segurana, entre outros.

4. Norma

Mas o que uma norma?
Conforme Regazzi Filho (2000), uma norma tem o objetivo de definir regras,
padres e instrumentos de controles para dar uniformidade a um processo, produto ou
servio. No deve determinar somente as bases para o presente, mas tambm para o
futuro, portanto dever acompanhar o progresso.
As normas so procedimentos, regras, enfim ferramentas para garantir que um
processo seja feito sempre igual e da maneira mais certa possvel. Os objetivos das
normas so discutidos abaixo:

Comunicao: proporcionar a maneira adequada para troca de informaes entre
clientes e fornecedores, garantindo a confiabilidade;
Simplificao: reduo da variedade de procedimentos e tipos de produtos;
Proteo ao consumidor: possibilidade de aferir a qualidade de produtos e
servios;
Segurana: conformidade de produtos e servios, conforme os requisitos da
norma;
Economia: a sistematizao e ordenao das atividades produtivas ou de
servios refletem na reduo de custos;
Eliminao de barreiras comerciais: evita a diversidade de regulamentos, muitas
vezes conflitantes, para produtos e servios em diferentes pases;

5. Evoluo e normas da segurana da informao

A evoluo da segurana da informao constante, sendo assim, as normas,
leis e regulamentaes ligadas a esta rea sempre estar em desenvolvimento, pois todos
os dias novas brechas de segurana so encontradas e h a necessidade de novos
procedimentos e mecanismos para fech-las.
Segundo o Instituto OnLine (2006), a linha de evoluo da segurana da
informao aconteceu conforme a figura 1.


Figura 1 Evoluo da segurana da informao

O princpio da segurana da informao no ser tratado aqui, pois foram em sua
grande maioria, publicaes de artigos e relatrios fortemente incentivados pelo
governo dos Estados Unidos da Amrica (EUA). Este incentivo foi de vital importncia
para a segurana da informao no mundo, pois o governo norte-americano, atualmente
e no passado, o principal incentivador das questes de segurana em geral,
principalmente por ser o pas mais rico do planeta e ser muito visado para ataques. Os
EUA so doentes por segurana, j tem elaborados, implementados e com
treinamentos para a populao, planos de contingncia, de continuidade de negcios,
evacuao, entre outros. Sendo especialista no assunto, o apoio dado a pesquisadores foi
primordial, tanto para as necessidades do pas como do mundo.
Estes documentos tiveram fortes influncias principalmente com o surgimento
de computadores, que antes no existiam. Como antes as informaes estavam em
documentos impressos e em sua grande maioria armazenados em arquivos de metal, a
segurana era implementada simplesmente por trancar o arquivo.
A evoluo destas publicaes foram o surgimento de normas regulamentadas
por rgos de diversos pases, que sero abordadas na seqncia.
As principais normas de controle e segurana da informao so:
Infomation Technology Infraestruture Library (ITIL);
Control Objectives for Information and Related Technology (COBIT);
British Standard (BS) 15000 / International Organization for Standartization
(ISO) 20000;
BS 7799 / ISO 17799;
ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799).

As normas descritas acima sero tratadas de forma macro, dando nfase
principal para as normas BS 7799 e ABNT NBR ISO/IEC 17799:2005, que so as
normas mais utilizadas da atualidade no Brasil.

5.1. ITIL

Segundo o Instituto OnLine (2006), o ITIL foi desenvolvido pelo governo
britnico em 1989, sendo um conjunto de melhores prticas para o gerenciamento de
servios em TI (organizaes em processos, infra-estrutura de TI: hardware, software,
rede e aplicaes).
Os objetivos do ITIL so:
Fornecer um guia para a gesto estratgica, ttica e operacional para a infra-
estrutura de TI;
Reduzir riscos;
Melhorar a eficincia;
Prover compatibilidade com a ISO 9001.

As melhores prticas que cobre os processos de suporte de servios so: gesto
de incidentes, de problemas, de mudanas, de configuraes e de fornecimento.
Os processos de fornecimento de servios avaliados por esta norma so: gesto
de capacidade, financeira, de disponibilidade, de nvel de servio, e de continuidade de
servios de TI.
Esta norma no indicada para ser utilizada de forma impar, para a prover os
controles voltados para segurana da informao, visto que o foco desta norma o
gerenciamento de servios em TI.

5.2. COBIT

Conforme o Instituto OnLine (2006), o COBIT fornece um conjunto de prticas
que auxiliam a gesto e controles em TI nas empresas, com o intuito de reduzir os riscos
correspondentes. Tem como tema principal a orientao aos negcios.
Fornece ferramentas para facilitar a distribuio de responsabilidades, possui 34
objetivos de controle, um para cada processo de TI, esto agrupados em 4 grandes
domnios:
Planejamento e organizao;
Aquisio e implementao;
Entrega e suporte;
Monitoramento e avaliao.

Estes domnios cobrem a implantao de processos que levaro aos corretos
investimentos em TI, ou seja, atravs do levantamento detalhado dos processos
possvel determinar onde se quer e onde necessrio investir, para atingir esse objetivo.
Os controles oferecidos por esta norma devem ser aplicados em conjunto com
outra norma que trate especificamente de segurana da informao como, por exemplo,
a norma ISO/IEC 17799:2005.

5.3. BS15000 / ISO 20000

Segundo o Instituto OnLine (2006), a BS 15000 foi a primeira norma formal
para gesto de servios de TI, foi desenvolvida pelo British Standards Institution (BSI)
em novembro de 2000, baseada no modelo de processos do ITIL e fornece
especificaes claras para implementao de processos de gesto de TI. A norma
abrange um sistema de gesto de servios de TI e forma a base para avaliao dessa
gesto.
O escopo da norma cobre os seguintes itens:
Escopo dos servios de sistema de gesto;
Termos e definies;
Planejamento e implementao de processo de gesto de servios;
Planejamento e implementao de gesto de novos servios ou modificaes
destes.

destinada a provedores de servios de TI, mas no entanto pode ser aplicada a
qualquer tipo de empresa, seja ela grande ou pequena.
A norma ISO 20000 a predecessora do BS 15000, as alteraes em relao ao
BS 15000 so mnimas, mas passa a ter um formato internacional mais adequado para
aplicao em diversos pases.
Esta norma prov modelos de processos baseados no ITIL, sendo assim trata
objetivamente da gesto de servios, devendo ser utilizada em conjunto quando o
objetivo a segurana da informao, sendo que a gesto de servios no cobre todos os
controles necessrios para a segurana da informao.

5.4. BS 7799

Segundo o Instituto OnLine (2006), um cdigo de prticas para ser utilizado
como referncia para a criao de uma poltica de segurana.
composta de duas partes:
Parte 1: BS 7799-1:1999 Agrupa objetivos de controle que devem se aplicados
para encontrar o nvel adequado de segurana. Os objetivos de controle explicam
com mais ou menos detalhes os pontos que mais devemos trabalhar para
implementar essas medidas. O foco aqui a gesto de riscos, que tem o objetivo
de auxiliar o planejamento da poltica de segurana da empresa, identificando os
controles relevantes para seus negcios.
Parte 2: BS 7799-2:1999 Conforme Campos (2006), apresenta um Sistema de
Gesto da Segurana da Informao (SGSI) em seis etapas. usada para avaliar
a eficincia do SGSI para qualquer aplicao, departamento ou organizao
como um todo. Esta avaliao constituda de quatro fases:
o Avaliao de riscos: verifica as ameaas que podem surgir e suas
vulnerabilidades, o impacto que podem ter e uma avaliao de risco em
cada caso;
o Gesto de riscos: avaliados os riscos, a tarefa reduzi-los a um nvel
aceitvel, pode ser alcanado aplicando as medidas mencionadas na BS
7799 para prevenir os riscos em conjunto, reduzir ameaas,
vulnerabilidades e impactos para poder tomar medidas, detectar riscos,
reagir e recuperar-se deles;
o Implementao de meios de segurana: determinar quais riscos devem
ser tratados e determinar quais so aplicveis;
o Declarao de aplicabilidade: estabelece quais controles devem ser
implementados, estes controles devem ser registrados e documentados. O
registro deve mostrar onde cada ao foi executada e estes documentos e
registros devem ser revisados periodicamente, para assegurar a
efetividade das aes.
Conforme Campos (2006), a parte 2 utilizada como documento de referncia
para obter o certificado de gerenciamento de segurana da informao de um rgo
autorizado.
Com a migrao da parte 1 desta norma para a ISO/IEC 17799 e a migrao da
parte 2 para a ISO 27001, no Brasil elas ficaram desatualizadas, embora a parte 2 ainda
utilizada para fazer a certificao dos controles estipulados pela parte 1, mas isto est
sendo abolido visto que a ISO 27001 far a certificao.

5.5. ISO/IEC 17799:2005(E) e ABNT NBR ISO/IEC 17799:2005

Conforme Parra (2002), esta norma um cdigo de prticas com orientaes
para gesto de segurana da informao. Apresenta descrio geral das reas
consideradas importantes de implantao ou gesto de segurana da informao na
organizao.
Em 2000 a ISO publicou a BS 7799 com o nome de ISO/IEC 17799:2000, onde
no inclua a segunda parte da BS 7799. Era um conjunto de orientaes com as
melhores prticas de segurana aplicveis em organizaes de qualquer porte
(CAMPOS, 2006).
Conforme Campos (2006), em 2005 a ISO publicou a segunda edio da norma,
sob o ttulo de ISO/IEC 17799:2005, que cancela e substitui a ISO/IEC 17799:2000.
Nesta nova verso os controles so mais distintos, separando a forma de
implementao, os requisitos e as informaes adicionais.
Segundo Parra (2002), a norma ISO 17799 est dividida em 12 tpicos, como
seguem:

1. Objetivo;
2. Termos e definies;
3. Poltica de segurana;
4. Segurana organizacional;
5. Classificao e controle dos ativos de informao;
6. Segurana de recursos humanos;
7. Segurana fsica e do ambiente;
8. Gerenciamento das operaes e comunicaes;
9. Controle de acessos;
10. Desenvolvimento e manuteno de sistemas de informao;
11. Gesto de continuidade de negcios;
12. Conformidade.

A norma est divida em 12 tpicos que so macro reas de gesto da segurana
da informao, ou seja, est dividida assim para que a gesto seja feita da forma mais
eficaz possvel. Se a segurana for tratada como um todo, ou seja, sem a diviso em
reas menores, os controles no seriam to efetivos o que certamente refletiria em uma
m gesto da segurana da informao. Sendo assim as vulnerabilidades no podem ser
totalmente alcanadas e a equipe responsvel ficaria perdida nos processos de gesto.
Como a norma um guia de boas prticas de padres de segurana e est dividida em
12 tpicos, a implantao pode ser feita em estgios que podem ser feitos por tpicos,
ou seja, pode ser implantada a poltica de segurana e depois a segurana
organizacional, ou vice-versa, para depois implementar as demais orientaes da norma.
Dependendo do tamanho da empresa, tambm pode ser implementado somente um ou
dois tpicos da norma, conforme a necessidade de negcio da empresa.
Conforme Parra (2002), esta norma serve como um guia prtico para o
desenvolvimento de padres de segurana organizacional e auxilia na criao de
procedimentos, controles e atividades confidenciais.
Como a ISO um rgo internacional, houve a necessidade de criar uma norma
alinhada com a realidade brasileira, que conforme o Instituto OnLine (2006), a norma
ABNT NBR ISO/IEC 17799:2005 a norma brasileira e totalmente equivalente
ISO/IEC 17799:2005. Sendo assim a norma reconhecida internacionalmente pode ser
implantada em qualquer empresa do Brasil, baseada nos moldes da ABNT NBR
ISO/IEC 17733:2005.
Segundo Campos (2006), a ISO no ir publicar as normas de segurana da
informao com uma nova numerao a famlia 27000, onde j previsto o lanamento
da ISO/IEC 27002 em 2007, que substituir a atual ISO/IEC 17799. O rgo tambm
tem o objetivo de harmonizar as normas de segurana da informao com os padres da
famlia 9000.
Como o objetivo da ISO criar padres, a norma de segurana da informao,
estava um pouco bagunada com relao a nomenclaturas. Sendo assim, a ISO decidiu
publicar uma nova famlia que tratar somente de questes relacionadas segurana da
informao, a famlia 27000 e estar alinhada a famlia ISO 9000, que trata
exclusivamente de qualidade e tambm a mais conhecida entre as normas j
publicadas da ISO.
A norma ISO 17799:2005 cobre os mais diversos assuntos da rea de segurana
da informao com muitos controles a serem atendidos para garantir a segurana das
informaes de uma empresa, visando a certificao, que pode ser um processo moroso,
refletindo um desafio empresa. Porm, a certificao uma forma de demonstrar a
sociedade (fornecedores, consumidores, pblico em geral), da preocupao que a
empresa tem com a segurana das informaes de seus clientes, fornecedores e at dela
mesmo. Esta uma tendncia para as empresas nos prximos anos, pois alm dos
pontos relacionados anteriormente, tambm poder ser utilizado como marketing e
tambm poder ser um diferencial para a competitividade no mercado atual.

6. Comparao entre as normas de segurana

Norma Ponto Fraco Ponto Forte
ISO/IEC 17799
Guia genrico sem um
material especfico.
Tem o controle de
segurana.
COBIT
Trata tudo de forma
generalista, no indicando
como fazer.
Possui mtricas, controles e
processos.
ITIL
A segurana e o
desenvolvimento de
sistemas.
Processos de operao.
Tabela 1 Comparao entre normas

O COBIT um framework de controle que visa garantir o alinhamento com os
negcios da empresa. Ele proporciona o aumento de qualidade de servios e
informaes, mas no mostra como fazer, dever ser utilizado em conjunto com o ITIL,
por exemplo. Pois sozinho no fornece nenhum controle, mtrica ou processo. Tem
como objetivo tambm a gesto de TI.
O ITIL prov sugestes das melhores prticas utilizadas para a gesto de TI, que
visa o foco no negcio da empresa, para garantir a qualidade e entrega dos servios
juntamente com um custo justificvel. Trata os processos de operao, ou seja, o que
deve ser feito, porm deve utilizar algum framework, como por exemplo o COBIT, para
fazer o gerenciamento da melhor maneira possvel.
A ISO/IEC 17799, prev as melhores prticas para garantir a segurana da
informao dizendo o que deve ser feito, no se preocupando com tecnologias ou
procedimentos adotados para atingir o objetivo. Para garantir o foco e alinhamento com
os negcios da empresa, deve ser utilizada em conjunto com outras normas, por
exemplo, o ITIL.
Levando em considerao as comparaes da tabela 1, pode-se dizer que
dependendo o nvel de controle que a organizao deseja, deve-se aplicar a norma que
melhor atende estes objetivos. Somente uma norma no cobre todo o assunto e no
atende todos os aspectos para alcanar um ambiente seguro, sendo assim podemos
aplicar as normas em conjunto, para ter um melhor resultado no controle da segurana
da informao, considerando ainda que as normas se complementem.
De forma sucinta podemos dizer que as normas podem ser aplicadas em
conjunto para buscar a maior eficcia dos servios de TI e da segurana da informao.

7. Concluso

De forma geral, as organizaes dedicam grande parte da ateno para seus
ativos fsicos, que podem ser medidos e financeiros, que podem ser calculados
rapidamente caso seja constatado algum roubo ou fraude, mas esquecem dos ativos de
informaes.
Sendo a informao cada vez mais valorizada pelas instituies e organizaes,
a evoluo da segurana da informao evidente, pode-se afirmar que a preocupao
com as normas de segurana a principal evidncia. Com isto cada vez mais as normas
estaro se atualizando conforme a necessidade, pois a informao ser um ativo cada
vez mais considerado e ter um maior grau de importncia.
O mercado tambm est exigindo que as empresas sejam certificadas por rgos
de normalizao para que todas as transaes entre elas sejam padronizadas, tanto para a
troca de informaes, como para a discusso entre fornecedores, consumidores e
clientes. Com a certificao em uma norma de qualidade a empresa garante perante a
sociedade, seus fornecedores e clientes a sua preocupao em fornecer produtos, ou
servios com um padro de qualidade conhecido internacionalmente, isto no caso da
ISO. Agora com a certificao em uma norma de segurana a empresa mostra para a
sociedade, fornecedores e clientes que se preocupa com as informaes trocadas entre
eles e principalmente com a sua informao e conhecimento, que hoje o seu bem mais
valioso.
O fator que garante a evoluo da segurana da informao de forma geral o
valor dado pela informao, tanto das empresas como pessoais. Ento para que as
informaes sejam preservadas e distribudas da melhor forma possvel, necessrio
gesto da segurana da informao, que tem como base a integridade, confidencialidade
e disponibilidade. Pode-se dizer que a segurana da informao e das normas de
segurana sempre estar em constante modificao e atualizao, pois a todo momento
novos incidentes so registrados e tambm h o surgimento de novas tecnologias.
Sendo assim, o futuro da segurana da informao so melhorias, nas
tecnologias, nos procedimentos, nas normas e principalmente o ser humano, que
considerado a parte mais frgil de um projeto de segurana, porque pode ser
corrompido. Para garantir que o ser humano no seja o ponto fraco, fundamental a
criao da cultura de segurana e conscientizao, que deve ser constante.

Referncias

Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio de 1999.
ALBUQUERQUE, Fbio S. de. A nova viso da rea de segurana da informao.
Modulo Security Magazine. [S.l.], 31 ago. 2006. Disponvel em:
<http://www.modulo.com.br>. Acesso em: 11 out. 2006.
CAMPOS, Andr L. N. Sistema de segurana da informao: controlando os riscos.
Florianpolis: Visual Books, 2006.
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro:
Axcel Books, 2000.
GONALVES, Alex D. et al. O impacto da implementao da norma NBR
ISO/IEC 17799. Modulo Security Magazine. [S.l.], 11 maio 2006. Disponvel em:
<http://www.modulo.com.br/comum/docs_iii_pv.jsp?catid=2&objid=475&idiom=0&pa
genumber=0>. Acesso em: 11out.2006.
INSTITUTO ONLINE. Entendendo e implementando a norma ABNT NBR
ISO/IEC 17799:2005: aspectos tericos e prticos para a implantao da norma ABNT
ISO/IEC 17799:2005. Reviso 1.0. p. 1-84. []. Instituto OnLine, 2006.
PARRA, Gislaine. Metodologia para anlise de segurana aplicada em uma infra-
estrutura de chave pblica. 2002. 99f. Dissertao (Mestrado em Cincia da
Computao) Programa de Ps-Graduao em Cincia da Computao da
Universidade Federal de Santa Catarina, Florianpolis.
REGAZZI FILHO, Carlos L. Normas tcnicas: conhecendo e aplicando na sua
empresa. Braslia: CNI, 2000.
SERAFIM, Vincius da S. et al. Tcnicas de segurana: da teoria a prtica. Possos de
Caldas, MG, 2002?. Disponvel em:
<http://ftp.inf.pucpcaldas.br/CDs/SBC2002/pdf/arq0060.pdf>. Acesso em: 11out. 2006.
VARELA, Joo P. et al. A questo humana na segurana da informao. [S.l.],
2006?. Disponvel em:
<http://wiki.di.uminho.pt/wiki/pub/Education/InformaticaJuridicaT1C/VitorNovoManu
elAlmeidaJoaoVarela3.doc>. Acesso em: 11 out. 2006.