Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANA DA INFORMAO:
Percepo dos funcionrios de uma empresa pblica prestadora de
servios de tecnologia da informao e comunicao
Belo Horizonte
2012
SEGURANA DA INFORMAO:
Percepo dos funcionrios de uma empresa pblica prestadora de
servios de tecnologia da informao e comunicao
Belo Horizonte
2012
LISTA DE FIGURAS
LISTA DE SIGLAS
COBIT
GCN
ITIL
SI
Sistema de Informao
TIC
WAN
SUMRIO
1
INTRODUO
.................................................................................................................................
5
2
FUNDAMENTAO
TERICA
....................................................................................................
9
2.1
Segurana
da
informao
................................................................................................................
9
2.1.1
Polticas
e
gesto
da
segurana
da
informao
..............................................................................
12
2.1.2
Segurana
em
recursos
humanos
.........................................................................................................
13
2.2
Outros
estudos
sobre
segurana
da
informao
...................................................................
17
3
METODOLOGIA
...........................................................................................................................
19
3.1
Coleta
de
dados
................................................................................................................................
19
3.2
Populao
e
amostra
......................................................................................................................
20
3.3
Tratamento
de
dados
.....................................................................................................................
20
3.4
A
empresa
..........................................................................................................................................
20
4
CRONOGRAMA
............................................................................................................................
21
REFERNCIAS
.................................................................................................................................
22
1 INTRODUO
O uso intensivo da tecnologia da informao, em especial da Internet, provocou
transformaes significativas para a humanidade, que alguns pesquisadores interpretam como
uma verdadeira revoluo.
No fim do segundo milnio da Era Crist, vrios acontecimentos de
importncia histrica transformaram o cenrio social da vida humana. Uma
revoluo tecnolgica concentrada nas tecnologias da informao comeou a
remodelar a base material da sociedade em ritmo acelerado. (CASTELLS,
2007, p. 39).
2 FUNDAMENTAO TERICA
Esta seo trata dos temas a seguir:
10
A segurana da informao tem como objetivo proteger a informao dos riscos a que est
exposta, de forma a garantir a confidencialidade, integridade e disponibilidade (PFLEEGER,
1997, p. 17).
A segurana da informao no se trata apenas de uma questo tecnolgica, mas uma questo
estratgica da organizao, alm de envolver uma gesto de riscos apropriada para proteger de
forma adequada a informao, alcanando todos os nveis da organizao (ITGI, 2006, p. 8).
KRUTZ e VINES (2001, p.3) afirmam que a segurana da informao sustentada nos
seguintes objetivos de controle: integridade, confidencialidade e disponibilidade, para
diminuir o impacto das ameaas e a probabilidade da ocorrncia destas se tornarem incidentes.
ALLEN (2005, p.7) sugere a segurana num mbito empresarial, defendendo a segurana
como sendo um conjunto de aes para proteger a informao em todas as formas que possam
apresentar riscos: sistemas de rede, eletrnica e fsica, rea de armazenagem, acesso,
processamento, transmisso. Alm disso afirma que as empresas devem ter nveis de
segurana adequados s suas necessidades de proteo ttica e estratgica.
Conforme a ABNT NBR ISO/IEC 17799:2005 (p.6), a anlise de risco se mostra como o uso
sistemtico de informaes de forma a identificar fontes e estimar riscos. Quando se aplica a
anlise de risco na segurana da informao, seu escopo deve estar previamente definido de
forma que a amplitude e complexidade da anlise possam ser dimensionadas. As seguintes
premissas devem ser levadas em considerao:
identificao, quantificao e priorizao dos riscos;
critrios para aceitao dos riscos dependendo do tipo de organizao;
determinar as aes da gesto de riscos, com o objetivo de adotar controles adequados;
determinar a periodicidade da avaliao de riscos, para conhecer mudanas nos
requisitos dos riscos e nas situaes de risco, para gerar resultados comparveis e
reproduzveis.
A segurana da informao a forma de se utilizar leis, normas e regulamentos afim de
garantir controles adequados para garantir a efetividade dos requerimentos de segurana
11
frente aos riscos que a informao est exposta (NIST, 800-100, 2006, p.1). Porm os riscos
em que as empresas esto sujeitas, em seus diversos ambientes operacionais, so os fatores
que determinam a necessidade da individualidade do modelo de segurana da informao das
organizaes. Inicialmente os riscos devem ser conhecidos para que, a partir da, a poltica de
segurana e os procedimentos a serem adotados sejam definidos.
entos a serem adotados.
Conforme KRUTZ e VINES (2001, p. 15), importante para a empresa entender que um
risco pode ser mitigado, mas nunca totalmente eliminado. Mitigar os riscos significa
estabelecer um nvel tolervel de risco e continuar efetivamente o funcionamento pleno das
aes de uma organizao.
O risco a probabilidade de um evento de ocorrer e suas consequncias (ABNT ISO/IEC
Guia 73:2005, p. 2).
A norma brasileira ABNT NBR ISO/IEC 17799:2005 (p.6) sugere a anlise de risco como a
primeira ao a ser empreendida pela organizao antes de se tomar decises sobre os
investimentos nos diversos segmentos do negcio. Alm disso, sugere que o tratamento de
riscos tenha como prever mecanismos de controle que verifiquem o nvel do risco, se o nvel
aceitvel, alm de definir sistemas de monitorao com ferramentas de coleta de evidncias,
estabelecendo a periodicidade que ser aplicada para a reviso da anlise de risco.
A Gesto de Continuidade dos Negcios (GCN), de forma complementar anlise de riscos,
objetiva entender os riscos s operaes e negcios, alm de suas consequncias de modo a
evitar a interrupo na entrega de servios e produtos (NBR 25999-1:2007, p. 6).
O foco da gesto de continuidade dos negcios o servio ou produto que a organizao
depende para sobreviver, no caso de um incidente com o poder de provocar danos
organizao. Ela informa o que deve ser feito, com o objetivo de proteger as pessoas
envolvidas, as tecnologias, as instalaes, a cadeia de fornecimento, as informaes, as partes
interessadas alm da reputao da organizao (NBR 25999-1:2007, p. 6-7).
A norma britnica BS 25999-1:2006, publicada pelo British Standard Institute (BSI),
intitulada Business Continuity Management (BCM), Part 1: Code of Practice, (p. 5), conceitua
12
a gesto da continuidade dos negcios como Apetite a Riscos, que significa a quantidade
total dos riscos que determinada organizao se encontra preparada para aceitar ou tolerar ou
ser exposta, a qualquer momento.
Conforme a ABNT NBR ISO/IEC 17799:2005 (p.103), a continuidade do negcio precisa ser
vista como um processo que agrega informaes compatveis com a gesto dos riscos, no
mbito dos riscos que a organizao est exposta. Percebe-se que a continuidade do negcio
deve estar alinhada gesto de riscos, de forma a no colocar em risco o processo de
continuidade do negcio.
necessrio lembrar que a implementao da gesto de continuidade do negcio est
condicionada tambm ao apoio e envolvimento da alta direo e das partes interessadas,
devido ao fato de requerer responsabilidades atravs de uma cadeia de comando (NBR 259991:2007, p. 5).
13
Ento, sem uma poltica de segurana definida, uma organizao alm de no saber o que
proteger, desconhecer os riscos existentes e potenciais. Desta forma, as organizaes devem
estar atentas para no dispender esforos em pontos especficos, como a configurao de um
filtro de contedo, pois esta ao poder acontecer totalmente fora do alinhamento estratgico
da organizao. A preocupao sobre a segurana da informao deve ser global para este fato
no ocorrer.
preciso saber quais os sistemas, processos e ativos so fundamentais para alcanar o
objetivo da organizao. Os objetivos que constam na poltica de segurana devem ser
definidos baseados no que ser protegido e a necessidade desta proteo. Para isto, os
usurios sempre so de fundamental importncia: so eles que operam e mantm os ativos
informacionais da organizao.
14
15
quando tais comportamentos so adotados pelo grupo de forma natural, como parte de sua
rotina.
Consoante Leach (2003), os seguintes fatores podem afetar o comportamento dos indivduos
quanto segurana da informao: informao sobre o assunto (conscientizao); relao
custo-benefcio de proteger ou revelar a informao; ideologia e falta de motivao. Para o
autor, a viso do indivduo sobre SI criada por diversos fatores individuais, tecnolgicos e
organizacionais. J os fatores organizacionais se referem s normas sociais e interaes no
trabalho, polticas e qualidade da gesto de SI, que influenciam a compreenso acerca do tema,
bem como, a conscientizao e comportamento do indivduo.
As solues de tecnologia da informao voltadas para segurana, por sua vez, influenciam o
comportamento na medida em que restringem o que possvel realizar nos sistemas de
informao, por meio de mecanismos de segurana para controlar as aes dos usurios. Os
fatores individuais, tais como motivao, conhecimento, atitudes e valores influenciam as
vises individuais de SI e sua percepo de risco, influenciando, igualmente, no
comportamento por eles apresentado. Para Leach (2003), diversas medidas podem ser
adotadas para influenciar o comportamento e conscientizao dos indivduos nas organizaes
em relao segurana da informao, tais como: campanhas, programas educacionais,
recompensas, medidas de proteo fsicas e tecnolgicas e legislao.
Leach (2003) ressalta que comportamentos adversos segurana nas organizaes podem
representar uma ameaa interna a ela devido, dentre outros, aos erros e falhas dos indivduos,
falta de ateno, negligncia e aos ataques. Para gerenciar tal ameaa, necessrio
entender como a cultura e as prticas organizacionais afetam o comportamento dos
funcionrios.
O autor apresenta os fatores influenciadores em um modelo dividido em duas reas. Na
primeira, so apresentadas variveis relacionadas compreenso do indivduo quanto ao
comportamento de segurana que esperado pela organizao, tais como: valores, polticas,
padres, procedimentos, comportamento demonstrado pelos gerentes e colegas de trabalho,
senso comum de segurana da informao e habilidades para tomada de deciso. A
combinao desses fatores gera a compreenso do usurio de aceitao e aprovao
comportamental de normas no trabalho.
16
A segunda rea, por sua vez, se refere disposio em mudar o comportamento com o intuito
de se adequar as normas aceitveis e os fatores relacionados so: valores pessoais e padres
de conduta, contrato psicolgico com o empregador, esforo requerido para estar em
conformidade e para no estar.
No entanto, a organizao no pode gerenciar todos os fatores que afetam o comportamento
dos indivduos como, por exemplo, valores pessoais ou padres de conduta. Por isso, esta
deve focar primeiramente nos fatores que esto, de fato, sob seu controle. Para tanto, a
organizao deve fazer um esforo continuo para assegurar que seus controles sejam
eficientes, efetivos e propriamente implementados (Leach, 2003).
Para o autor, existem trs fatores chaves para melhorar o comportamento de segurana dos
usurios. O primeiro o comportamento demonstrado pelo gerente e colegas, afinal os
indivduos tendem a ser guiados mais pelo que eles veem do que pelo que dito a eles.
Formas de melhorar o comportamento da equipe consistem em fornecer gratificao pelo bom
comportamento em segurana e oferecimento de treinamentos, demonstrando quais so os
comportamentos inaceitveis. Outro fator chave o senso comum de segurana do indivduo
e habilidades para tomada de deciso (o senso comum algo que pode ser ensinado por meio
de princpios que guiam a tomada de deciso.) e, por fim, a fora do contrato psicolgico com
a instituio.
Para Leach (2003), a criao de uma cultura de segurana a melhor forma de motivar a
equipe a se comportar de uma forma consciente em relao a Segurana da Informao. A
importncia da alta direo na criao dessa cultura fundamental, afinal uma liderana forte
cria uma cultura forte e uma cultura forte fornece uma direo clara para a equipe em todos os
nveis. O autor ressalta, ainda, que um comportamento de segurana fraco um fator
determinante de incidentes na empresa. Por isso, a organizao deve criar uma cultura de
segurana e fortalecer a sua influncia no comportamento dos indivduos.
Stanton et al (2005) criaram uma taxonomia composta por dois fatores e seis categorias a fim
de organizar comportamentos em segurana da informao. Para os autores, uma liderana
que apoie a segurana, sistema de recompensas, intervenes motivacionais e designao
clara do papel e responsabilidades dos indivduos em relao segurana so fatores
17
18
19
3 METODOLOGIA
A importncia da metodologia utilizada em uma pesquisa justificada devido necessidade
de um embasamento cientfico adequado, buscando a melhor abordagem para esclarecer as
questes da pesquisa (MIGUEL, 2010).
De acordo com Berto e Nakano (2000), abordagens de pesquisa so formas ou maneiras que
permitem aproximao do problema fenmeno que se pretende estudar. As abordagens
quantitativas so baseadas em mtodos lgico-dedutivos, e buscam explicar relaes de
causa/efeito e possibilitar replicaes. Apresentam tambm caractersticas de conduta de
investigao como a seleo das amostras e a ausncia de contato entre o pesquisador e o
objeto de estudo. Os relatos dos resultados devem ser objetivos, alm de primar por
descries externas e metrificadas.
Esta pesquisa ser descritiva de natureza quantitativa onde pretende-se realizar um survey
envolvendo todos os funcionrios da empresa pblica prestadora de servios de tecnologia da
informao e comunicao.
Survey um mtodo de pesquisa que se baseia em levantamento de dados atravs de
questionrios aplicados a amostras. uma documentao direta, utilizada com o objetivo de
conseguir informaes e/ou conhecimento acerca de um problema, uma hiptese que se queira
comprovar, ou ainda, descobrir novos fenmenos ou as relaes entre eles. (MARCONI;
LAKATOS, 2006, p.83).
20
3.4 A empresa
A organizao analisada uma empresa pblica de Tecnologia da Informao e Comunicao
TIC, com atuao fortemente ligada prestao de servios para o setor pblico.
21
4 CRONOGRAMA
Atividades
Reviso bibliogrfica
Redao do projeto
Defesa do projeto
Aplicao dos questionrios
Anlise e interpretao
Redao do documento
Reviso da redao
Defesa da dissertao
2012
Ago
Set
Out
2013
Nov
Dez
Jan
Fev
Mar
Abr
Mai
22
REFERNCIAS
ALBRECHTSEN, E. A qualitative study of users view on information security. Computer
& Security, Volume 26, Issue 4, 276-289. Elsevier, 2007.
ALLEN, Julia, Governing for Enterprise Security. Networked Systems Survivability
Program, June 2005. Carnegie Mellon University and Software Engineering Institute
Material.
Technical
Note
CMU/SEI2005TN023.
Disponvel
em:
<http://www.sei.cmu.edu/publications/pubweb.html>. acesso em: jan. 2012.
ANLISE FATORIAL. In: WIKIPDIA, a enciclopdia livre. Flrida: Wikimedia
Foundation,
2012.
Disponvel
em:
<http://pt.wikipedia.org/w/index.php?title=Anlise_fatorial&oldid=31534841>. Acesso em:
17 out. 2012.
ASCIUTTI, Csar Augusto, Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a
Administrao Pblica USP, So Paulo (SP), 2006. Disponvel em:
http://www.security.usp.br/palestras/Normas-Encontro-USP-Seguranca-Computacional-II-V1-02.pdf. Acesso em: 15 set. 2012.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT ISO/IEC Guia 73:2005.
Gesto de Riscos. Vocabulrio. Recomendaes para uso em normas.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799:2005.
Tecnologia da Informao. Tcnicas de Segurana. Cdigo de prtica para a gesto da
Segurana da Informao.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27001. 2006.
Tecnologia da Informao. Tcnicas de segurana Sistemas de gesto de segurana da
informao Requisitos .
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002: 2005;
Tecnologia da informao. Tcnicas de segurana - Cdigo de prtica para a gesto da
segurana da informao. ISBN 978-85-07-00648-0. Rio de Janeiro, 2005.
BAKER, W. H.; WALLACE, L. Is Information Security Under Control? Investigating
Quality in Information Security Management; Publicado por: THE IEEE COMPUTER
SOCIETY; IEEE SECURITY & PRIVACY; Jan./Fev. 2007.
BARMAN, S. Writing Information Security Policies. New Riders. Primeira Edio, Nov.
2001.
BERTO, R. M. V. S; NAKANO, D. N. A produo cientfica nos anais do Encontro
Nacional de Engenharia de Produo: um levantamento de mtodos e tipos de pesquisa.
Revista Produo, vol. 9, n. 2, 2000.
BRITISH STANDARD BS 25999-1:2006, Business Continuity Management (BCM), Part 1:
Code of Practice. British Standard Institute (BSI).
CASTELLS, Manuel. A Sociedade em Rede. Editora Paz e Terra S/A, So Paulo, 2007.
23
Disponvel
em:
24
25
Presidncia da Repblica
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000.
Institui a Poltica de Segurana da Informao nos rgos e
entidades da Administrao Pblica Federal.
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 84,
inciso IV, da Constituio, e tendo em vista o disposto na Lei no 8.159, de 8 de janeiro de
1991, e no Decreto no 2.910, de 29 de dezembro de 1998,
DECRETA:
Art. 1o Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades
da Administrao Pblica Federal, que tem como pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da
sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na
Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informao, com o domnio de
tecnologias sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao;
VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e
defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre
a importncia das informaes processadas e sobre o risco da sua vulnerabilidade.
Art. 2o Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as
seguintes conceituaes:
I - Certificado de Conformidade: garantia formal de que um produto ou servio,
devidamente identificado, est em conformidade com uma norma legal;
26
27
28
29