Revista de Gesto da Tecnologia e Sistemas de Informao

Journal of Information Systems and Technology Management

Vol. 2, No. 2, 2005, pp. 121-136
ISSN online: 1807-1775
_____________________________________________________________________________________
Recebido em/Manuscript first received: 15/03/2005 Aprovado em/Manuscript accepted: 03/06/2005

Endereo para correspondncia/ Address for correspondence
Alade Barbosa Martins, Cetrel S.A. Empresa de Proteo Ambiental, Brazil alaide@cetrel.com.br
Celso Alberto Saibel Santos, Professor Doutor da Universidade Salvador e pesquisador do Ncleo de Pesquisa em
Redes de Computadores (NUPERC), Brazil - saibel@unifacs.br

ISSN online: 1807-1775
Publicado por/Published by: TECSI FEA USP 2005
UMA METODOLOGIA PARA IMPLANTAO DE UM
SISTEMA DE GESTO DE SEGURANA DA
INFORMAO
A METHODOLOGY TO IMPLEMENT AN INFORMATION SECURITY
MANAGEMENT SYSTEM
Alade Barbosa Martins
Cetrel S.A. Empresa de Proteo Ambiental, Brazil
Celso Alberto Saibel Santos
Universidade Salvador, Brazil

RESUMO
Este artigo apresenta uma proposta de metodologia para a implantao de um Sistema de Gesto
da Segurana da Informao (SGSI). A metodologia baseada nos principais padres e normas
de segurana, definindo um conjunto de diretrizes a serem observadas para garantir a segurana
de um ambiente computacional ligado em rede. O processo de implantao do SGSI resulta na
padronizao e documentao dos procedimentos, ferramentas e tcnicas utilizadas, alm da
criao de indicadores, registros e da definio de um processo educacional de conscientizao
da organizao e de seus parceiros. Os conceitos e idias aqui apresentados foram aplicados em
um estudo de caso envolvendo a empresa Cetrel S.A. Empresa de Proteo Ambiental. Para
esta empresa, responsvel pelo tratamento de resduos industriais provenientes do Plo
Petroqumico de Camaari-BA e de outras regies, a garantia da confidencialidade e integridade
dos dados de seus clientes, alm da possibilidade de disponibilizar informaes com segurana
so requisitos fundamentais de funcionamento.
Palavras-chave: Segurana da Informao, ISO/IEC 17799, Gesto de Segurana da
Informao, Sistema Integrado de Gesto

ABSTRACT
Information security has actually been a major challenge to most organizations. Indeed,
information security is an ongoing risk management process that covers all of the information
that needs to be protected. ISO 17799 offers what companies need in order to better manage
information security. The best way to implement this standard is to ease the security
management process using a methodology that will define will define guidelines, procedures and
tools that will be needed along the way. Hence, this paper proposes a methodology to assist
companies in assessing their compliance with BS 7799/ ISO 17799 as well as planning and
implementing the actions necessary to become compliant or certified to the standard. The
concepts and ideas presented here had been applied in a case study involving the Cetrel S/A -
Company of Environmental Protection. For this company, responsible for treatment of industrial
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
122
residues generated by the Camaari Petrochemical Complex and adjacent areas, to assure
confidentiality and integrity of customers' data is a basic requirement.
Keywords: Information Security, Information Security Management System, ISMS, ISO/IEC
17799.
1 INTRODUO
Apesar da diversidade de trabalhos relacionados ao tema segurana, pouco
enfoque tem sido dado definio de uma metodologia ou mesmo, de um conjunto de
diretrizes consistentes e coerentes, que auxiliem o planejamento e a implantao de um
Sistema de Gesto da Segurana da Informao (SGSI)
1
em um ambiente de rede com
sistemas computacionais heterogneos. Visando suprir esta deficincia, este artigo
apresenta uma metodologia terico-conceitual para auxiliar a concepo, elaborao e
implantao de um SGSI em uma organizao, a qual est baseada numa srie de
padres e normas internacionais (TECSEC, 1985), (ISO 15408:1999), (ISO/IEC TR
13335:1998), (BS7799-2:2001), (ISO/IEC 17799:2001), (IEC 61508:1998). A
metodologia apresenta aspectos gerenciais de conduo na implantao do SGSI e sua
aplicao resulta na padronizao e documentao dos procedimentos, ferramentas e
tcnicas utilizadas, alm da criao de indicadores, registros e da definio de um
processo educacional de conscientizao da organizao envolvida.
O artigo est organizado em 5 sees aps esta parte introdutria. A seo 2
apresenta um estudo minucioso dos padres e normas representativos da rea de
segurana da informao, os quais devem servir de base para a implantao de um
SGSI. A seo 3 apresenta as linhas gerais do processo de implantao de um SGSI. A
principal contribuio deste trabalho, uma metodologia para implantao de um SGSI,
apresentada na seo 4. Finalmente, na seo 5 so apresentadas as concluses do
trabalho e uma anlise da aplicao dos conceitos propostos neste trabalho no ambiente
organizacional da empresa Cetrel S.A. Empresa de Proteo Ambiental.
2 NORMAS E PADRES DE SEGURANA DA INFORMAO
A preocupao com a segurana dos sistemas computacionais no recente. O
processo de definio de regras e padres de segurana iniciou-se na dcada de 60 (com
o impulso da Guerra Fria), culminando com a publicao, no final do ano de 2000, da
norma Internacional de Segurana da Informao ISO/IEC-17799, a qual possui uma
verso aplicada aos pases de lngua portuguesa, denominada (NBR ISO/IEC-
17799:2001).
2.1 O Padro BS7799 e a Norma ISO/IEC 17799
O objetivo destas normas fornecer recomendaes para gesto da segurana da
informao para uso por aqueles que so responsveis pela introduo, implementao
ou manuteno da segurana em suas empresas. Eles tambm se destinam a fornecer
uma base comum para o desenvolvimento de normas e de prticas efetivas voltadas
segurana organizacional e tambm, a estabelecer a confiana nos relacionamentos
entre as organizaes.
A origem da ISO/IEC 17799 data do final da dcada de 80. Em 1987, no Reino
Unido, o Department of Trade Centre (DTI) criou o Comercial Computer Security
Centre (CCSC) com o objetivo de auxiliar as companhias britnicas que

1
Em ingls ISMS (Information Security Management System)
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
123
comercializavam produtos para segurana de Tecnologia da Informao (TI) atravs da
criao de critrios para avaliao da segurana.
O CCSC surgiu tambm com objetivo de criar um cdigo de segurana para os
usurios das informaes, o que resultou, em 1989, na publicao da primeira verso do
cdigo de segurana, denominado PD0003 Cdigo para Gerenciamento da Segurana
da Informao. A partir deste ano, vrios documentos preliminares foram publicados
por esse centro, at o surgimento da BS7799 em 1995. Esse documento foi
disponibilizado em duas partes para consulta pblica, a primeira em 1995 e a segunda
em 1998. Em maio de 2000 o BSI homologou a primeira parte da BS7799. Em outubro
do mesmo ano, na reunio do comit da ISO, a norma foi votada e aprovada pela
maioria dos representantes. Em dezembro de 2000, aps incorporar diversas sugestes e
alteraes, a BS7799 ganhou status internacional com sua publicao na forma da
ISO/IEC 17799.
A BS77991
2
Code of Practice for Information Security Management a
primeira parte da norma e contm uma introduo, definio de extenso e condies
principais de uso da norma. Ela apresenta 10 clusulas que agrupam controles e
objetivos de controles com o intuito de direcionar a gesto e o suporte para segurana da
informao.
A BS77992 Specification for Information Security Management Systems,
publicada em 1998 e revisada em 2002, mas ainda no homologada, a segunda parte
da norma que define as bases necessrias para um SGSI.
Um SGSI um sistema de gesto anlogo a um Sistema da Qualidade e como tal
passvel de certificao. Esta certificao se d a partir das evidncias (documentos e
prticas) do conjunto de controles implantados e que devem ser continuamente
executados e devidamente registrados. Este modelo de gesto est baseado no ciclo com
melhoria contnua PDCA (Plan-Do-Check-Act) mostrado na figura 1.

SGSI
Projeto e Implementao
do SGSI
SGSI
SGSI
Aperfeioamento
do SGSI
Especificao do Contexto e
Avaliao de Riscos
Monitoramento e
Reviso do SGSI

Figura 1 - Ciclo de atividades BS7799-2.
O Ciclo PDCA foi criado em 1920 e ainda hoje, o principal mtodo da
Administrao pela Qualidade Total, sendo indicado na BS7799-2 como meio de
facilitar o gerenciamento do projeto de Segurana da Informao. O modelo comea
com a execuo das atividades na fase Plan, passando para as fases Do, Check e Act,

2
Nas siglas envolvendo padres e normas, o ltimo dgito refere-se a uma parte especfica da norma ou
padro em questo. BS7799-1 refere-se parte 1 do British Standard 7799.
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
124
sucessivamente. A idia que este processo seja executado continuamente e que a cada
novo ciclo, o sistema seja melhorado.
A norma ISO/IEC 17799 surgiu num momento em que as organizaes de todo
o mundo passaram a investir muito mais em segurana da informao, muitas vezes sem
orientao. Devido sua notoriedade, a norma ISO 17799 passou a ser referenciada
como sinnimo de segurana da informao. Porm, a idia de que a implantao da
segurana da informao em uma organizao se resume verificao de alguns
controles sugeridos pela norma ISO/IEC 17799 um grande mal entendido. A norma
contempla ao todo 127 controles, porm nem sempre necessria a adoo de todos
estes mecanismos para se atingir o patamar de segurana desejado. Isto exige uma
seleo criteriosa dos controles a partir da realizao de uma anlise de risco. Alm
disso, necessria a integrao de outros padres e normas (algumas vezes menos
conhecidos), mas que podem ser de grande importncia na gesto de segurana da
informao em uma determinada organizao. No contexto deste trabalho, outros
padres e normas foram analisados, dentre os quais podem ser destacados ISO/IEC
13335 e IEC 61508.
2.2 A Norma ISO/IEC TR 13335
Formalmente denominada de Guidelines for the Management of IT Security
(GMITS), a norma (ISO/IEC TR 13335:1998) composta por 5 partes envolvendo a
rea de TI:
A Parte 1 Concepts and Models for IT Security, publicada em 1996, fornece
uma viso geral dos conceitos e modelos fundamentais usados na gesto de segurana
de TI.
A Parte 2 Managing and Planning IT Security da norma, publicada em 1997,
trata do relacionamento da rea de segurana da informao com as demais reas da
organizao, principalmente a rea de segurana corporativa. De maneira semelhante ao
padro BS7799, a Parte 2 sugere a criao de um comit interdisciplinar que envolva as
diversas reas da empresa principalmente os responsveis pelos ativos e pelas
informaes. Este comit deve reunir-se periodicamente para definir os nveis aceitveis
de risco, cobrar e acompanhar resultados e reavaliar o projeto de segurana da
informao quando necessrio. A clusula 7 da Parte 2 especifica um fluxo de
planejamento e gerenciamento do projeto de segurana da informao, alm de definir
uma srie de responsabilidades, com a orientao das atribuies dos atores do
processo.
Publicada em 1998, a Parte 3 Techniques for the Management of IT Security
descreve tcnicas de gesto de segurana para a rea de TI. Ela pode ser utilizada em
conjunto com a norma BS7799-2, que sugere quais os processos (e no apenas as
tcnicas, como na ISO 13335-3) devem ser implantados na conduo da gesto de
segurana. Vale observar ainda que a Parte 3 trata a gesto de risco em praticamente
todas as clusulas, atravs de tcnicas de anlise de risco.
A Parte 4 Selection of Safeguards foi publicada em 2000 e fornece um
catlogo de contramedidas e um guia para a seleo destas.
A Parte 5 Management Guidance on Network Security complementa a parte
4 da norma, acrescentando fatores relevantes para a conexo de sistemas em redes,
tendo sido publicada no ano de 2001.
Outra norma importante para a construo do SGSI, principalmente se o projeto
envolver sistemas de automao, a IEC 61508.
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
125
2.3 A Norma IEC 61508
A norma internacional (IEC 61508:1998) enfoca, atravs de uma abordagem
genrica, as atividades do Ciclo de Vida de Segurana para os Sistemas Eltricos,
Eletrnicos e Eletrnicos Programveis (E/E/PES) que so utilizados para desempenhar
funes de segurana. Neste sentido, esta norma vem sendo elaborada com o objetivo
de desenvolver um policiamento tcnico consistente para todos os sistemas
eltricos/eletrnicos relacionados com a segurana.
Os principais objetivos desta norma so: (a) tratar sistematicamente todas
atividades do ciclo de vida de um sistema instrumentado de segurana; (b) habilitar que
os desenvolvimentos tecnolgicos dos produtos se realizem em ambiente sistemtico de
segurana funcional; (c) ressaltar as melhorias dos Programmable Eletronic Safety
(PES) nos aspectos de desempenho e de viabilidade econmica e; (d) uniformizar
conceitos e servir de base para elaborao de normas setoriais.
Embora esta norma esteja sendo direcionada para sistemas eltricos/eletrnicos
de segurana, evidentemente sua orientao pode ser aproveitada em sistemas de
segurana implementados atravs de outras tecnologias, como por exemplo, mecnica,
hidrulica ou pneumtica. Esta norma est subdividida em 7 partes. As partes 1, 2, 3 e 4
da IEC 61508 so publicaes de segurana bsicas, tendo, respectivamente, as
seguintes denominaes: (1) Requisitos Gerais; (2) Requisitos para Sistemas Eltricos,
Eletrnicos e Eletrnicos Programveis (E/E/PES); (3) Requisitos de Software e; (4)
Definies. As partes 5 e 6 apresentam, respectivamente, um Guia para Aplicao da
Parte 1 (mtodos de determinao dos nveis de integridade de segurana) e um Guia
para a Aplicao das Partes 2 e 3. A parte 7 contm uma Bibliografia de Tcnicas e
Medidas.
A norma IEC 61508 adota uma abordagem baseada em risco, tratando-o como
uma combinao de probabilidades e conseqncias de ocorrncia. O termo utilizado,
Segurana Funcional, uma caracterstica de sistemas relacionados com a segurana.
Nesses sistemas, o conceito Segurana uma caracterstica do equipamento, incluindo o
sistema de controle associado que pode produzir o risco.
Os nveis de integridade de segurana representam medidas internas do sistema
adequadas para lidar com o risco. Este conceito direciona a padronizao de duas
classes de requisitos que devem ser especificados antes do incio do processo de
desenvolvimento do sistema de segurana. A primeira classe de requisito diz respeito s
Funes de Segurana, que devem ser especificadas atravs do documento denominado
Especificao dos Requisitos Funcionais de Segurana. A segunda classe de
requisitos est relacionada com a Integridade de Segurana, devendo ser documentada
atravs do relatrio Especificao dos Requisitos de Integridade de Segurana.
3 O PROCESSO DE IMPLANTAO DE UM SGSI
A anlise detalhada dos documentos apresentados nas sees anteriores permitiu
a identificao da superposio dos controles extrados dos diversos padres e normas, e
tambm, da complementaridade entre vrios de seus aspectos.
A implantao da gesto de segurana da informao comea pela definio de
quais dos itens especificados em cada padro devem ser implementados na organizao.
Em outras palavras, necessrio definir se os itens do padro esto adequados s
caractersticas da organizao.
O processo de implantao do SGSI proposto utiliza como referncia o modelo
PDCA descrito na BS7799-2 e a clusula 7 da ISO 13335-2.
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
126
O sucesso do Sistema Integrado de Gesto organizacional, incluindo a gesto de
Segurana da Informao, comea com a garantia de que uma das mais importantes
recomendaes da ISO 13335-2 est sendo aplicada. Em suma, deve ser acordado que
os representantes de todos os setores da organizao esto comprometidos com a
poltica de Segurana da Informao a ser implantada. Este comprometimento obtido
atravs da criao de um comit ou frum de segurana da informao, que deve se
encontrar regularmente para balizar e respaldar o trabalho do chamado Security Officer
3
.
Uma das funes principais deste comit definir o nvel de risco aceitvel pela
organizao. Dependendo do tamanho da organizao, alm deste comit,
recomendada a criao de um departamento de segurana da informao, sob
responsabilidade do Security Officer. Algumas organizaes podem ter tambm uma
diretoria de segurana que engloba as reas de segurana fsica ou patrimonial e
segurana lgica. Seja qual for o modelo usado, indispensvel que o Security Officer
tenha visibilidade em toda a organizao. A inexistncia do comit afastar o
departamento de segurana das decises estratgicas, fazendo com que este se torne um
departamento meramente operacional da rea de Tecnologia da Informao.
A norma BS 7799-2 norma oferece as ferramentas para a implantao e gesto
atravs do modelo PDCA. As fases Plan-Do do PDCA correspondem s etapas de
construo do SGSI envolvendo a elaborao da poltica de segurana, definio do
escopo, desenvolvimento da anlise de riscos, formalizao da estratgia de gesto de
riscos, documentao e seleo dos controles aplicveis para reduzir os riscos quando
necessrio. Assim, a implantao do SGSI se d efetivamente nas duas primeiras fases
do primeiro ciclo PDCA.
Ainda no ciclo do modelo PDCA, as fases Check-Act esto relacionadas
verificao de que as medidas de segurana especificadas esto sendo aplicadas, s
solues de segurana utilizadas e melhoria contnua do conjunto de segurana, alm
das auditorias peridicas de cada componente do sistema.
4 METODOLOGIA DE IMPLANTAO DE UM SGSI
Cabe deixar claro que elaborar uma metodologia de implementao para o
projeto de segurana da informao uma tarefa complexa devido ao nvel de
detalhamento que inclui todos os tpicos, itens e aspectos, tanto os tcnicos quanto os
de carter gerencial, portanto estar completamente fora do escopo deste artigo detalhes
tcnicos para atender s necessidades especficas de cada organizao. Porm com um
esforo adicional de detalhamento, a metodologia poderia vir a se tornar uma referncia
para implantao e acompanhamento de Sistemas de Gesto da Segurana da
Informao em organizaes. A figura 2 apresenta a metodologia proposta atravs de
uma seqncia de passos e dos resultados (deliverables) produzidos a cada etapa. Os
passos da metodologia, seus resultados e as normas a eles associados so apresentados a
seguir.

3
Security Officer definido como sendo a pessoa responsvel pela aplicao ou administrao da poltica
de segurana aplicada ao sistema [RFC2828].
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
127

Matriz de
criticidade
Questionrio e
relatrio de

analise de
risco
Inventrio e Mapa
Relatrio do sistema de
no conformidade
Plano de Ao,
Polticas SGSI
Indicadores
Planilha de
controles
Concepo
1 Passo: Estabelecimento
Poltica de Segurana da
Informao
2 Passo: Definio do Escopo
3 Passo: Anlise de Risco
4 Passo: Gerenciamento das
reas de risco
5 Passo: Seleo dos controles
6 Passo: Implementao e
Acompanhamento dos
indicadores
7 Passo: Auditoria do Sistema
e Plano de melhoria
PLAN
DO
ACTION
CHECK
ISO/IEC TR 13335-2
BS7799
ISO/IEC 17799
RFC2196
RFC2828
ISO/IEC TR 13335-3
MSF, 2005
NBR 1333; NBR 11515;
NBR ISO/IEC 17799;
NBR 11584; IEC 61508-n
ISO/IEC 15408-n
ISO/IEC TR 13335-n

Figura 2 Proposta de Metodologia para implantao do SGSI.
4.1 A Concepo do Sistema
A etapa inicial, que ocorre antes da realizao do primeiro passo da
metodologia, corresponde fase de concepo do sistema. neste momento em que se
determina a viabilidade do projeto, realiza-se o planejamento inicial de suas fases, bem
como algumas estimativas iniciais de custo, alocao de pessoal, cronograma, escopo,
objetivos e metas. Normalmente, a fase de concepo abrange duas etapas:
Diagnstico da situao atual verifica-se a existncia de alguma poltica de
Segurana da Informao, aproveitando-se de controles j implementados.
Planejamento do SGSI e preparao para a sua implantao nesta etapa,
conforme as normas ISO/IEC TR 13335-2 e BS7799, recomenda-se a formao do
comit responsvel pela implantao do Sistema na organizao. O papel fundamental
deste grupo de realizar formao bsica e conscientizao dos colaboradores, o
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
128
planejamento e a preparao do sistema, o detalhamento do projeto e a
definio/consolidao da poltica de Segurana da Informao da empresa conforme as
normas e finalmente, o estabelecimento dos objetivos e metas para o Programa de
Gerenciamento da Segurana da Informao, em conformidade com o planejamento
estratgico da organizao.
4.2 Estabelecimento de uma Poltica de Segurana da Informao
Para construir as polticas de segurana da organizao, o comit deve tomar
como base os padres e normas apresentados anteriormente, sendo que dentre eles, os
mais recomendados para esta finalidade so: A BS7799/ISO17799 e as RFCs de
nmero 2196 (1997) e 2828 (2000).
Conforme as RFCs 2196 e 2828, a Poltica de Segurana um documento que
deve descrever as recomendaes, as regras, as responsabilidades e as prticas de
segurana. Entretanto, sabe-se que no existe uma Poltica de Segurana Modelo que
possa ser implementada em toda e qualquer organizao, pois a Poltica dever ser
moldada especificidade de cada caso. Portanto, elaborar uma Poltica de Segurana
uma tarefa complexa e que necessita ser constantemente monitorada, revisada e
atualizada. Alm disso, os seus resultados normalmente s podero ser notados a mdio
e longo prazo. fundamental a existncia de uma poltica de segurana que seja
realmente referncia para os colaboradores da organizao, possibilitando a garantia dos
trs princpios bsicos da segurana da informao: integridade, disponibilidade e
confiabilidade.

1 Comit de Segurana
2 Classificao das informaes
3 Definio dos objetivos de segurana a serem atingidos
4 Anlise das necessidades de segurana
5 Elaborao de proposta da poltica
6 Discusses abertas com os envolvidos
7 Apresentao de documento formal direo da empresa
8 Aprovao
9 Implementao
10 Divulgao e Conscientizao

Figura 3 - Fluxograma de desenvolvimento da Poltica de Segurana da
Informao.
O comit criado dever ser responsvel pela gesto da segurana da informao,
portanto, normalmente, este grupo prope as polticas necessrias para gesto da
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
129
segurana da informao e seus recursos. Buscando realizar a implantao,
acompanhamento e revises peridicas. Na figura 3, apresentado o fluxo proposto
para o desenvolvimento das polticas de segurana da informao.
A Poltica de Segurana dever apresentar algumas caractersticas, conforme
especifica a ISO/ IEC17799: (i) ser aprovada pela diretoria, divulgada e publicada de
forma ampla para todos os colaboradores; (ii) ser revisada regularmente, com garantia
de que, em caso de alterao, ela seja revista; (iii) estar em conformidade com a
legislao e clusulas contratuais; (iv) deve definir as responsabilidades gerais e
especficas; (v) deve dispor as conseqncias das violaes.
Alm destas caractersticas a poltica de segurana dever abranger os seguintes
tpicos:
Propriedade da Informao interessante determinar o responsvel pela
informao, pessoa que poder definir quem poder ter acesso s informaes e que
nvel de acesso permitido, e qual a periodicidade necessria para a realizao do
backup desta informao.
Classificao da informao o gestor dever classificar a informao quantos
aos princpios de disponibilidade, confidencialidade e integridade.
Controle de acesso deve atender ao princpio de menor privilgio. Todo pedido
de acesso deve ser documentado. Deve-se evitar a segregao de funo, por exemplo,
um mesmo usurio no deve ter acesso gerao de pagamento e liberao do mesmo.
importante, tambm, que se mantenham as trilhas de auditoria no sistema.
Gerncia de Usurios e Senhas As senhas devem ser nicas e individuais,
seguindo critrios de qualidade, isto , senhas fortes com trocas peridicas. A
responsabilidade da senha do usurio proprietrio da mesma.
Segurana Fsica Os acessos a reas de servidores devem ser consentidos
mediante autorizao. Deve-se ter controle quanto entrada e sada de equipamentos e
pessoas, recomendando-se a criao de normatizaes de controles internos referentes
segurana fsica, os quais devero ser auditados periodicamente.
Desenvolvimento de sistemas ou compra de sistemas/software importante
definir uma sistemtica interna com nfase nos requisitos de segurana.
Plano de continuidade de Negcios um dos mais importantes tpicos na
poltica de segurana, sendo recomendada a gerao de controles e padres
especificando detalhes quanto ao plano de contingncia e continuidade dos negcios.
Alm das caractersticas mencionadas, vale ressaltar que as polticas criadas
devem ser seguidas por todos os colaboradores da empresa e devem servir como
referncia e guia de segurana da informao. Para isto, necessria a realizao de
uma campanha de divulgao e conscientizao de sua importncia para a organizao.
4.3 Definio do Escopo
A definio do escopo inclui o levantamento dos ativos que sero envolvidos,
tais como: Equipamentos; sistemas; nome da organizao; estrutura de comunicao
(Internet, correio eletrnico); pessoas; servios; infra-estrutura de rede interna e externa
e classificao da informao.
medida que evolui, o projeto deve ser revisado e detalhado. Esta reviso
baseada no escopo do projeto, pois a declarao do escopo um documento que contm
a base para as futuras decises. A delimitao do escopo extremamente necessria,
pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
130
Esta etapa produz os seguintes resultados: o mapa do permetro da rede de
computadores onde ser aplicado o SGSI; o inventrio dos ativos e a classificao
desses ativos. A realizao do inventrio dos ativos da rede (hardware e software)
geralmente utiliza ferramentas computacionais especficas, tais como, o software
Network Inventory Master; a ferramenta gratuita oferecida pela Microsoft MSIA
Microsoft Software Inventory Analyzer (MSIA, 2005) voltada ao levantamento de
softwares do ambiente Windows; a ferramenta recomendada pela Business Software
Alliance (BSA), denominada Tally Systems WebCensus Service.
4.4 Anlise de Risco
No passo 3 realizado o diagnstico da segurana para o escopo definido,
atravs da identificao dos ativos de informao envolvidos e do mapeamento de todas
as ameaas relacionadas a estes (COBRA, 2002). Para cada ameaa deve ser
determinado o nvel de risco envolvido. No desenvolvimento da anlise de riscos, a ISO
13335-3 ocupa um papel importante. Conforme apresentado na seo 3.1, esta norma
trata detalhadamente a questo de anlise de riscos, apresentando diversas opes e
estratgias de conduo da anlise de riscos que podem ser escolhidas em funo do
tempo e oramento existente e dos objetivos. Aps esta fase, o uso da BS 7799-2 na
atividade de decidir a estratgia de gesto de riscos de grande utilidade.
Aps o diagnstico dos riscos, deve-se definir junto alta administrao da
empresa, quais os nveis de risco aceitveis e no-aceitveis. Entre os no aceitveis,
pode-se escolher uma entre as seguintes opes:
Reduzir o nvel de risco atravs da aplicao de controles de segurana.
Aceitar o risco considerar que ele existe, mas no aplicar qualquer controle.
Transferir o risco repassar a responsabilidade de segurana a um terceiro, como,
por exemplo, um data center.
Por fim, negar o risco esta a opo menos recomendada.
A anlise de riscos pode ser tanto quantitativa baseada em estatsticas, numa
anlise histrica dos registros de incidentes de segurana quanto qualitativa baseada
em know-how e geralmente realizada por especialistas. No possvel afirmar com
certeza qual a melhor abordagem, uma vez que cada uma delas fornece uma
ferramenta valiosa para a estruturao das atividades de identificao de riscos.
A abordagem quantitativa se baseia nas informaes coletadas no processo
qualitativo. Novamente, ferramentas computacionais especficas para computar os
dados de anlise de risco podem ser de grande utilidade nesta fase. Dentre outras,
podem ser destacadas a Precision Tree, da Paragon (PrecisionTree, 2005) e a Microsoft
Solutions Framework, da Microsoft (MSF, 2005).
Devido a sua agilidade, geralmente as empresas tendem a adotar o modelo
qualitativo, que no requer clculos complexos. Independentemente do mtodo adotado,
uma Anlise de Riscos deve contemplar algumas atividades, como o levantamento de
ativos a serem analisados, definio de uma lista de ameaas e identificao de
vulnerabilidades nos ativos.
O relatrio de anlise de risco deve conter identificao e classificao de ativos
e processos de negcio, anlise de ameaas e vulnerabilidades, e anlise e
parametrizao de riscos e definio de tratamento dos riscos.
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
131
4.5 Gerenciamento das reas de Risco
O Gerenciamento de Riscos um processo contnuo, que no termina com a
implementao de uma medida de segurana. Atravs de uma monitorao constante,
possvel identificar quais reas foram bem sucedidas e quais precisam de revises e
ajustes.
Nessa etapa estimado o impacto que um determinado risco pode causar ao
negcio. Como praticamente impossvel oferecer proteo total contra todas as
ameaas existentes, preciso identificar os ativos e as vulnerabilidades mais crticas,
possibilitando a priorizao dos esforos e os gastos com segurana. Uma vez que os
riscos tenham sido identificados e a organizao definiu quais sero tratados, as
medidas de segurana devem ser de fato implementadas.
Nessa etapa ainda podem ser definidas medidas adicionais de segurana, como
os Planos de Continuidade dos Negcios que visam manter em funcionamento os
servios de misso-crtica, essenciais ao negcio da empresa, em situaes emergenciais
e Response Teams que possibilitam a deteco e avaliao dos riscos em tempo real,
permitindo que as providncias cabveis sejam tomadas rapidamente.
Todo o processo do gerenciamento das reas de risco de segurana da
informao, praticamente desenvolve-se em nove etapas, conforme a figura 4.

Anlise e
atribuio
de valores
de ativos.
Identificao
de riscos de
segurana.
Anlise e
priorizao
dos riscos.
Controle,
planejamento
e
agendamento
Desenvolvimento
de correes
Teste de
correes
Registro de
conhecimento
Reavaliao
de ativos e
riscos
Estabilizao e
Implantao de
contramedidas
novas e alteradas
1 2 3 4 5
6 7 8 9

Figura 4 - Gerenciamento das reas de risco de segurana da informao.
Deve-se buscar implantar a gesto pr-ativa dos riscos, que envolve um conjunto
de etapas predefinidas que devem ser seguidas para impedir ataques antes que eles
ocorram. Essas etapas incluem verificar como um ataque poderia afetar ou danificar o
sistema de computador e quais as suas vulnerabilidades. O conhecimento obtido nessas
avaliaes pode ajudar a implementar diretivas de segurana que vo controlar ou
minimizar os ataques. A figura 5 ilustra as quatro etapas da estratgia pr-ativa.

Determinar
os dados que
o ataque
causar.
Vulnerabilidades
e os pontos fracos
que podero ser
explorados.
Minimizar as
vulnerabilidades e
o pontos fracos
Determinar o nvel
apropriado de
contramedidas a
serem implementadas
1 2 3 4

Figura 5 - Etapas da estratgia pr-ativa
Seguir estas etapas para analisar cada tipo de ataque resultar em um benefcio
indireto: comear a surgir um padro dos fatores comuns a diferentes ataques. Esse
padro pode ser til para determinar as reas de vulnerabilidade que representam o
maior risco para a empresa.
Como pode ser notado, este passo est totalmente associado ao passo anterior e,
portanto, deve-se ter sempre em mente a necessidade de equilibrar o custo da perda de
dados e o custo da implementao dos controles de segurana.
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
132
4.6 Seleo dos Controles e Declarao de Aplicabilidade
Aps a identificao dos requisitos de segurana, convm que os controles sejam
selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel
aceitvel. Dentre os 127 controles da BS7799-2 so selecionados, aqueles so aplicveis
gesto de segurana da informao. Deve-se ainda observar os controles contidos nas
demais normas e tcnicas existentes para que estes possam ser integrados de forma
natural ao SGSI (como proposto na seo anterior).
No basta instituir uma srie de regras a serem cumpridas internamente. Para
garantir a segurana de uma empresa, necessrio estabelecer procedimentos e
controles para o acesso de parceiros externos corporao, como por exemplo:
definio de convnios para acesso s bases corporativas e da poltica de uso da intranet
e Internet; definio de modelo de identificao de pirataria; de gerenciamento de rede;
de distribuio de verses de software e de padres Internet; deteco de inatividade de
modems ligados rede; definio do padro de atualizao de antivrus e do acesso de
empregados ao provedor corporativo; padronizao do portal institucional e do site
comercial; implantao, roteamento, criptografia, certificao digital, configurao de
firewall, dentre outras ferramentas e tecnologias necessrias.
Aps levantamento dos controles, devem ser realizadas a anlise e seleo dos
mesmos. Neste caso, recomenda-se utilizar um formulrio de declarao de
aplicabilidade, conforme o exemplo da figura 6. Com base nesta declarao, os
procedimentos normativos devem ser gerados ou simplesmente revisados de acordo
com o sistema normativo j existente na organizao.

BS7799-2:2002
Clusula Controle Objetivo Aplicvel Referncia
3.1 Poltica de Segurana
3.1.1
Documento da poltica de
segurana da informao
1
3.1.2 Anlise crtica e avaliao 2
4.2
Segurana
Organizacional

4.1.1
Frum de Segurana da
Informao
3


Figura 6 Declarao de Aplicabilidade
Entre os critrios para a seleo de controles devem ser considerados: a relao
custo x benefcio; a aplicao do mesmo controle para reduzir outros nveis de risco
considerados no aceitveis; a capacidade de gerenciamento do controle e a capacidade
de substituio do controle.
Aps sua definio, os controles devem ser implementados dentro do escopo
estabelecido, seguindo as informaes geradas durante o processo de anlise de riscos,
tomando o cuidado de sempre manter o foco nos propsitos do negcio, evitando
prejudicar, inviabilizando ou retardando demasiadamente, a atividade fim da
organizao.
4.7 Implementao e Acompanhamento dos Indicadores
Os processos de implantao de contramedidas e de diretivas de segurana
ocorrem durante toda a fase de implantao da metodologia. Em seguida, deve ocorrer
um processo de acompanhamento de todos os controles implementados e, para isso,
necessria a produo de indicadores especficos que possibilitem visualizar as
condies de funcionamento e desempenho do ambiente analisado.
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
133
A implementao dos controles selecionados pode envolver a aquisio de
tecnologia de software e/ou hardware (custos adicionais), mas em alguns casos, essa
implementao resulta apenas na criao de padres e normas internas a serem
obedecidas.
4.8 Auditoria do Sistema
As auditorias internas do SGSI tm a finalidade de verificar, com base em
evidncias objetivas, se as seguintes condies ocorrem satisfatoriamente:
Os procedimentos e instrues operacionais so adequados e eficazes.
Os setores da Empresa vm atuando em concordncia com os documentos
normativos.
Os subsdios fornecidos so suficientes para elaborao dos relatrios peridicos de
anlise crtica do SGSI.
Para que as auditorias internas ocorram com eficcia, recomenda-se que alguns
princpios sejam seguidos, como por exemplo, a independncia dos auditores, o
planejamento e notificao prvios, o aprimoramento contnuo do SGSI e a busca de
constataes e observaes que agreguem valores s atividades referentes segurana
da informao, aos objetivos e metas da organizao e s suas polticas.
As no conformidades (reais e potenciais) detectadas no SGSI devem ser
registradas de acordo com procedimento especfico, incluindo aes para registro e
tomada de ao para encerramento da mesma. indicada uma anlise crtica destas no
conformidades e, se pertinente, executada a investigao de suas causas, a definio e
a implantao de aes corretivas e o registro das alteraes em procedimentos. Aps a
implantao das aes corretivas, deve ser feita uma avaliao de sua eficcia antes de
seu encerramento.
No conformidades potenciais so detectadas atravs do relato de incidentes
relacionados ao SGSI, atravs da identificao de situaes de riscos e da anlise
detalhada de modificaes ou implantao de novas atividades e equipamentos. Uma
vez detectadas as no conformidades potenciais, aes preventivas so definidas e
implantadas com o objetivo de evitar a ocorrncia das mesmas. Aps a implantao das
aes corretivas, faz-se uma avaliao da eficcia das mesmas, antes de seu
encerramento.
Uma vez que a estrutura esteja organizada, testada e melhorada, o prximo passo
realizar a auditoria externa para a certificao na norma. No Brasil, atuam na
certificao da norma BS 7799-2 empresas como: DNV, BVQI, BSI, DQS, entre
outras
4
. Poucas empresas foram certificadas no Brasil, porm a tendncia que cresa o
nmero de empresas certificadas, devido s novas exigncias do mercado quanto
segurana da informao, em especial nas relaes que envolvem o mercado exterior e
onde a segurana o diferencial competitivo (instituies financeiras, telecomunicaes
e rea mdica).
Conforme apresentado, a implantao de um SGSI um processo que busca
continuamente o aprimoramento do modelo de gesto da segurana da informao. Para
tal, o acompanhamento e gerenciamento do fluxo como ciclo PDCA devem ser uma
constante na organizao, seja atravs de auditorias peridicas ou de aes de melhorias
inseridas na rotina diria de administrao da informao.

4
Uma lista completa pode ser obtida em (Certification Portal, 2005)
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
134
Recomenda-se a gerao de um manual de segurana do projeto SGSI, contendo
todos os documentos gerados em cada etapa do processo, ou seja: A Poltica de
Segurana; A anlise de risco; O Inventrio; A declarao de aplicabilidade com os
controles especficos ao escopo selecionado; Os temos e as polticas de uso dos sistemas
e dos servios oferecidos; Os indicadores de acompanhamento; Os incidentes
registrados e classificados, alm dos 28 procedimentos (PR) e os Instrumentos
Normativos (IOs) recomendados na ISO 17799.
Algumas ferramentas podem ajudar, no processo de implementao e
acompanhamento do ciclo PDCA. Dentre elas: sistema de controle de acesso dos
usurios, sistema de inventrio de hardware e software, sistema de acompanhamento de
no conformidades e o sistema de acompanhamento de indicadores.
Aps a implantao do SGSI conforme o modelo proposto, a etapa de
acompanhamento e gerenciamento do ciclo deve ser uma constante na organizao,
atravs de auditorias peridicas e aes de melhorias.
A possibilidade de integrar os controles do SGSI ao Sistema Integrado de Gesto
implantado permite a execuo de um processo de melhoria contnua, pois o ciclo do
PDCA executado regularmente no cronograma das organizaes. Alm disso, a
experincia obtida nos ciclos de auditoria e de implantao das melhorias, com a
remoo das no conformidades encontradas, pode ser utilizada no processo.
5 CONCLUSO
Logicamente pode-se concluir que o processo de busca de solues para os
problemas de segurana em ambientes computacionais envolve a necessidade do
desenvolvimento de padres, os quais sero tanto utilizados no apoio construo de
sistemas computacionais "seguros", como para a avaliao dos mesmos. A existncia de
um SGSI implantando na organizao, permite ao usurio tomar conhecimento do quo
protegidas e seguras estaro as suas informaes. Do ponto de vista dos profissionais
tcnicos, eles passaro a possuir um modelo de atuao comum, evitando assim que
cada equipe tenha para si um padro desconexo das demais equipes. A grande
contribuio da metodologia permitir que o responsvel pela implementao do
projeto de segurana tenha uma viso nica do sistema de segurana da informao e
dos diversos padres, controles e mtodos que o compem.
O projeto de gesto de segurana da informao desenvolvido teve como
referncia o ambiente computacional a empresa Cetrel S.A. As etapas de implantao
do SGSI envolveram um nvel mais gerencial, e no necessariamente tcnico.
A implementao e manuteno de um SGSI exigem uma dedicao e anlise
profunda do ambiente computacional e organizacional. Esta no uma tarefa fcil e
obrigaria o apoio da direo da organizao e a participao de todos os funcionrios
com esta finalidade. Alm disso, o processo poderia envolver a participao de
terceiros, como clientes e fornecedores, bem como a contratao de uma consultoria
externa. Por tudo isso, tornar seguro um ambiente computacional pode ser uma tarefa
bastante complexa, requerendo gesto e procedimentos apropriados.
A oportunidade de utilizar um ambiente de produo como da empresa Cetrel
S.A. para implantar a metodologia desenvolvida, explicitou as principais dificuldades
encontradas na implantao de um SGSI. O projeto desenvolvido e implantando, alm
de utilizar a BS7799/2 como base, resultou no desenvolvimento de uma metodologia
prpria para a elaborao e implementao de forma clara e objetiva o programa de
gesto da segurana da informao, utilizando como suporte a NBR ISO/IEC 17799 e
Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao

Vol. 2, No. 2, 2005, pp. 121-136
135
outros importantes padres de segurana. Ao todo esta ISO contempla 127 controles
alm daqueles que no foram citados na norma. Porm, para se atingir o patamar de
segurana desejado nem sempre necessria a adoo de todos estes mecanismos, mas
sim uma seleo criteriosa dos controles a partir da realizao de uma anlise de risco.
Uma das contribuies deste trabalho foi justamente a gerao de subsdios para
o gerenciamento da implementao de um SGSI. Por isso, ele foi desenvolvido levando-
se em considerao as etapas do projeto que foram alcanadas, ao invs de detalhes de
como foram alcanadas. Assim, as etapas descritas na seo 6 deste artigo devem ser
vistas como modelo gerencial. Isto , elas so, na verdade, documentos (como
relatrios, procedimentos, formulrios e planos), ao invs de produtos de natureza muito
tcnica (como, por exemplo, a instalao de um firewall). Este fato demonstra a
preocupao em desenvolver o esboo de implementao segundo uma linha mais
gerencial do que tcnica. Desta forma, a abordagem utilizada segue o que parece ser
uma tendncia das modernas tcnicas de gesto, que focalizam mais os resultados
obtidos em detrimento dos processos empregados para obt-los.
Outro ponto importante foi a constatao de que o ciclo necessrio para
implantao dos controles de segurana similar ao ciclo j adotado por outras
importantes normas. Isto possibilitou implantao do SGSI a partir da experincia de
implantao do Sistema Integrado de Gesto, tornando mais rpido e fcil a integrao
do SGSI ao modelo de gesto j existente na organizao (SIG CETREL, 2002).
6 REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 11584, Critrios de
segurana fsica, relativos a microcomputadores e terminais, em estaes de trabalho. Julho
1991.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 11515, Critrios de
segurana fsica relativos ao armazenamento de dados. Dezembro 1990.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 17799 Tecnologia da
Informao - Cdigo de prtica para a Gesto da Segurana da Informao. International
Organization for Standardization, Switzerland, 2000.
COBRA. (2002) Consultative, Objective & Bi-functional Risk Analysis, Iso Compliance
Analyst, Release 3.1.8b. C&A Systems Security Ltd. 2002.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT BS 7799-
2:2002: Information security management specification for information security management
systems. British Standard Institute, London, 2001.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC TR
19791: IT security techniques Security assessment of operational systems. DIN Deutsches
Institut fr Normung e. V., 2004.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC FCD
18045: IT Security techniques Methodology for IT Security Evaluation, DIN Deutsches
Institut fr Normung e. V., 2004.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC TR
15443-1: Information technology - Security techniques. DIN Deutsches Institut fr Normung e.
V., 2004.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC TR
15446: Information technology - Security techniques Guide for the production of Protection
Profiles and Security Targets. DIN Deutsches Institut fr Normung e. V., 2004.
Martins, A. B et Santos, C. A. S.
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management
136
INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508-n, Functional safety
of eletrical/electronic/programmable electronic safety-related systems (1998). Commission
Electrotechnique Internationale, 1998.
IETF Internet Engineering Task Force. Request for Coments (RFC) n 2828. GTE/BBN
Technologies, 2000. Disponvel em: <http://www.ietf.org/ rfc/rfc2828.txt>. Acessado em: 01
maio 2004.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. ISO/IEC TR 13335-n,
Guidelines for the Management of IT Security (GMITS). International Organization for
Standardization, Switzerland, 1998.
INTERNATIONAL ORGANISATION FOR STANDARDISATION. ISO/IEC 15408-n,
Information Technology Security Techniques Evaluation Criteria for IT Security (1999).
International Organization for Standardization, Switzerland, 1999.
MSF. Microsoft Solutions Framework. Disponvel em:
<http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/ secmod134.mspx #
XSLTsection121121120120>. Acesso em: 20 jul. 2004.
MSIA Microsoft Software Inventory Analyzer. Verso 2.1.0.0220. 2004.
SIG CETREL. (2002) Manual do Sistema Integrado de Gesto da CETREL S.A.. Camaari,
Bahia. 2002.
TCSEC, DEPARTMENT OF DEFENSE. (1985) Trusted Computer System Evaluation Criteria.
December, 1985. Disponvel em: <http://
www.radium.ncsc.mil/tpep/library/rainbow/index.html>. Acesso em Ago. 2002.