Escolar Documentos
Profissional Documentos
Cultura Documentos
3 - Livro - GESTÃO DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - UNB PDF
3 - Livro - GESTÃO DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - UNB PDF
INFORMAO E COMUNICAES
GESTO DA SEGURANA DA
INFORMAO E COMUNICAES
CDU 004.056
AGRADECIMENTOS
O resultado apresentado neste livro no poderia ter sido produzido sem a
valiosa contribuio e suporte de muitos colegas, a maioria de servidores
pblicos que atuam dentro e fora da Universidade de Braslia. Estendo meus
agradecimentos aos tcnicos e alunos do Departamento de Cincia da
Computao da UnB, que forneceram o apoio logstico realizao do
curso. Aos professores colegas do Instituto de Cincias Exatas, do
Departamento de Cincia da Computao e da Universidade de Braslia,
tanto pelo envolvimento de alguns na realizao do curso, quanto pelos
valiosos comentrios e crticas construtivas na conduo e ajustes do
CEGSIC 2007-2008. Embora sujeito a inevitveis omisses, expresso meus
agradecimentos pessoais a Alan Correa, Andr Ancona Lopez, Arthur
Nbrega, Clia Ghedini Ralha, Cesar Fonseca, Cludia Canongia, Fabrcio
Braz, Fernanda Fernandes, Fernando Schelb, Georgina Mandarino, Gilberto
de Oliveira Netto, Guilherme Marques, Honrio Crispim, Humberto
Abdalla, Indiana Kosloski de Medeiros, Isabella Tavares, Joo Jos Costa
Gondim, Kenia Alvarenga, Leidiane Cardoso, Leonardo Lazarte, Masa
Pieroni, Magda Fernandes, Marco Carvalho, Marcos Allemand, Maria Nilza
Mendona, Maria do Carmo Mendona, Maria Helena do Carmo, Nathalia
Alvarenga, Norai Romeu Rocco, Odacyr Luiz Timm Jnior, Paula
Fernandes, Paulo Gondim, Paulo Hidaka, Pedro Freire, Polyana Souza,
Raphael Mezzomo, Ricardo Sampaio, Tarcsio Freire Junior, Ulysses
Machado e Vitor Fujimoto.
10
...
Quando conheces a ti
mesmo e aos outros,
a vitria no est
ameaada.
quando conheces o cu
e a terra,
a vitria inesgotvel.
Sun Tzu, em A Arte da
Guerra
11
12
LISTA DE TABELAS
TABELA 5.1: Docentes, pesquisadores e (ou) consultores que
participaram de disciplinas do CEGSIC 2007-2008. ................................... 42
TABELA 6.1: Enquadramento das Pesquisas conforme rea
Temtica. ..................................................................................................... 47
TABELA 6.2: Orientadores de Monografias do CEGSIC 2007-2008. ......... 53
13
14
SUMRIO
AGRADECIMENTOS .............................................................................................. 7
LISTA DE TABELAS ............................................................................................... 13
APRESENTAO ................................................................................................... 19
CAPTULO 1 | PRLOGO ...................................................................................... 21
PARTE I | MOTIVAES, PLANEJAMENTOS E AES ..................................... 25
CAPTULO 2 | A SEGURANA DOS SISTEMAS NA ADMINISTRAO
PBLICA ................................................................................................................. 27
CAPTULO 3 | PANORAMA INTERNACIONAL DA SEGURANA DA
INFORMAO ........................................................................................................ 33
CAPTULO 4 | EM BUSCA DE UMA DOUTRINA ................................................... 37
CAPTULO 5 | CEGSIC: Pesquisa e Ensino em Gesto da Segurana ................. 40
PARTE II | MONOGRAFIAS E REAS TEMTICAS ............................................. 44
CAPTULO 6 | MONOGRAFIAS DO CEGSIC 2007-2008 E SUAS REAS
TEMTICAS ............................................................................................................ 46
PARTE III | RESUMOS DAS MONOGRAFIAS DO CEGSIC 2007-2008 ............... 50
CAPTULO 7 | FUNDAMENTOS DA SEGURANA DA INFORMAO ................ 54
7.1 UMA PROPOSTA DE CONCEITO PARA "COMUNICAES" NO
TERMO SEGURANA DA INFORMAO E COMUNICAES, por Liliana
Suzete Lopes de Queiroz Campos ......................................................................... 55
7.2 SEGURANA DA INFORMAO E COMUNICAES: CONCEITO
APLICVEL EM ORGANIZAES GOVERNAMENTAIS, por Reinaldo Silva
Simio ..................................................................................................................... 55
CAPTULO 8 | PESSOAS E SEGURANA DA INFORMAO ............................. 58
8.1 SEGURANA DA INFORMAO: UMA QUESTO NO APENAS
TECNOLGICA, por Paulo Csar Cardoso Rocha ................................................ 59
8.2 UM MODELO DE ANLISE DO COMPORTAMENTO DE SEGURANA
DE SERVIDORES DA ADMINISTRAO PBLICA FEDERAL BRASILEIRA,
por Renato do Carmo das Neves Alves .................................................................. 59
8.3 ANLISE DA POLTICA DE SEGURANA DA INFORMAO DA
MARINHA QUANTO AOS CONTROLES VOLTADOS PARA O RISCO DO
COMPONENTE HUMANO EM AMBIENTES E SISTEMAS CRTICOS, por
Roberto Ribeiro Bastos ........................................................................................... 60
CAPTULO 9 | POLTICAS DE SEGURANA DA INFORMAO ......................... 61
15
16
17
18
APRESENTAO
com satisfao que apresento este Livro, o qual rene produes
intelectuais, de alto nvel, nos mais variados assuntos acerca de Gesto de
Segurana da Informao e Comunicaes (GSIC), tema consideravelmente
importante ao Estado brasileiro, em face de sua complexidade nos
panoramas nacional e internacional.
Investir em capacitao sempre foi prioridade do Gabinete de Segurana
Institucional da Presidncia da Repblica. Este Livro concretiza tal ao,
pois o resultado aqui apresentado vem ao encontro dos nveis insatisfatrios
de investimento e conhecimento, sobre Segurana da Informao e
Comunicaes, apresentados, em 2003, pelos rgos da Administrao
Pblica Federal, direta e indireta.
Uma Doutrina Nacional de Gesto da Segurana da Informao e
Comunicaes, no mbito dos rgos e entidades da APF compreende:
conceitos, princpios, diretrizes, mtodos, tcnicas, habilidades e
competncias no plano gerencial. Tal cultura deve ser disseminada junto aos
servidores pblicos, bem como junto s organizaes nas quais atuam.
No tenho dvidas que este Livro fundamento essencial para a concepo
de metodologia de Gesto de Segurana da Informao e Comunicaes na
Administrao Pblica Federal, e para a elaborao de normas e padres
mnimos necessrios para assegur-la.
Recomendo, portanto, a leitura deste Livro, cuja publicao considero
significativa contribuio tcnica s entidades, pblicas e privadas, para o
estabelecimento da cultura interna de GSIC, para a devida compreenso dos
19
20
CAPTULO 1
PRLOGO
Este livro um registro parcial da produo intelectual desenvolvida pela
primeira turma do Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes, realizado pelo Departamento de Cincia da
Computao da Universidade de Braslia, CEGSIC 2007-2008.
O curso foi realizado em resposta ao convite, seguido de colaborao, apoio
e aporte de recursos organizacionais e financeiros pelo Gabinete de
Segurana Institucional da Presidncia da Repblica Federativa do Brasil,
mais especificamente pelo Departamento de Segurana da Informao e
Comunicaes (DSIC/GSIPR). Foi produzido para atendimento Portaria
17/2007 GSIPR.
O CEGSIC 2007-2008, iniciou-se formalmente em novembro de 2007 e sua
concluso ocorreu em meados do ano de 2009. O CEGSIC 2007-2008 teve
carga horria de 375 horas aula, realizadas em regime presencial, nas
dependncias da Universidade de Braslia. Contou com a participao e
apoio de docentes e tcnicos dos Departamentos de Cincia da Computao,
Engenharia Eltrica e Cincias da Informao e Documentao da UnB, bem
como com professores e pesquisadores de fora da UnB.
A parte I deste livro descreve em mais detalhes as motivaes e conceitos
subjacentes realizao do CEGSIC 2007-2008.
Os alunos e alunas do CEGSIC 2007-2008 foram selecionados por meio de
entrevistas realizadas pela coordenao do curso. O horrio de realizao das
aulas do curso foi principalmente o noturno, visto que no havia
possibilidade de realiz-lo integralmente durante o horrio de expediente dos
21
22
23
24
PARTE I
MOTIVAES, PLANEJAMENTOS E
AES
25
26
CAPTULO 2
27
28
29
30
31
32
CAPTULO 3
PANORAMA INTERNACIONAL DA
SEGURANA DA INFORMAO
A Gesto da Segurana da Informao e a Garantia da Informao so duas
das abordagens internacionalmente conhecidas para a busca da integridade,
disponibilidade, confidencialidade e autenticidade de sistemas de informao.
Note que abordagens "de gesto" estendem as de segurana computacional
tecnolgica. Enquanto que a segurana computacional (ANDERSON, 2001;
SCHNEIER, 1996), a segurana de redes (SYSTEMS AND NETWORK
ATTACK CENTER - SNAC, 2006; CONVERY, 2004; STALLINGS, 2008)
a segurana de dados (LITCHFIELD et al., 2005) e a segurana de cdigo ou
software (HOGLUND; MCGRAW, 2004) ocorrem por meio da implantao e
operao da criptografia, dos mecanismos de autenticao, dos sistemas de
defesa de redes de computadores e de tolerncia a falhas, entre outros, a gesto
da segurana da informao busca o alinhamento entre as necessidades
organizacionais de segurana e o gerenciamento dos sistemas de informao,
no apenas no que concerne ao emprego de tecnologias, mas com nfase em
aspectos de risco (DEPARTAMENTO DE SEGURANA DA
INFORMAO
E
COMUNICAES
DO
GSIPR,
2009b;
STONEBURNER; GOGUEN; FERINGA, 2002; PELTIER, 2001; ISO/IEC,
2007; ALBERTS; DOROFEE, 2002), poltica organizacional (GABINETE
DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA
REPBLICA, 2008; DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR, 2009a; CASA CIVIL DA
PRESIDNCIA DA REPBLICA, 2001; BRASIL, 2000), recursos humanos
33
10
34
13
35
36
CAPTULO 4
37
19
38
39
CAPTULO 5
41
DOCENTES, PESQUISADORES E
(OU) CONSULTORES
Auditoria e Certificao de
Segurana da Informao
Controles de Segurana da
Informao
Criptografia e Infraestrutura de
Chaves Pblicas
28
42
Faria Freire
Gesto de Riscos
Inteligncia Competitiva
Metodologia Cientfica
Modelos de Confiana em
Informtica
Pensamento Crtico
Projeto de Monografia
Redes de Computadores
Segurana em Aplicaes
Segurana Fsica de TI
Seminrios de Gesto da
Segurana da Informao e
Comunicaes (Trilha)
Sistemas Complexos
Sociedade da Informao
43
PARTE II
MONOGRAFIAS E REAS
TEMTICAS
44
45
CAPTULO 6
30
46
Classificao da
Informao
(18) Conformidade e
Certificao
47
Estrutura de Chaves
Pblicas
(7) Fundamentos da
Segurana
(19) Gesto da
Continuidade
(11) Incidentes de
Segurana
Processos de Segurana
Segurana Fsica e
Ambiental
(17) Segurana em
Compras e Contratos
48
49
PARTE III
RESUMOS DAS MONOGRAFIAS
DO CEGSIC 2007-2008
50
51
52
53
CAPTULO 7
FUNDAMENTOS DA SEGURANA
DA INFORMAO
Pesquisas sobre fundamentos de um determinado conceito ou prtica so
usualmente de natureza exploratria e terica. Buscam o desenvolvimento de
uma teoria do conhecimento31 sobre um determinado assunto.
No CEGSIC 2007-2008, duas monografias abordaram o estudo dos
fundamentos da segurana da informao e comunicaes. O trabalho de
Liliana Suzete Lopes de Queiroz Campos (CAMPOS, 2008) apresenta uma
proposta de conceito para "comunicaes", fundamentada na necessidade de
considerar a comunicao como um elemento formador da cultura. O
segundo trabalho, elaborado por Reinaldo Silva Simio (SIMIO, 2009),
formulou uma interpretao para o conceito de Segurana da Informao e
Comunicaes, e que passou a ser utilizado pela Administrao Pblica
Federal brasileira com a edio da Instruo Normativa No. 1 do
GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA
DA REPBLICA (2008).
A defesa da monografia de pesquisa de Liliana Campos ocorreu no dia 15 de
dezembro de 2008, e foi avaliada pela banca composta por Mamede LimaMarques (orientador), Magda Fernanda Medeiros Fernandes e Jorge
Henrique Cabral Fernandes.
31
54
56
57
CAPTULO 8
PESSOAS E SEGURANA DA
INFORMAO
Uma busca no Google contendo a expresso "pessoas elo mais fraco" retorna
mais de 80.000 resultados32. So muitas as imagens que fazem aluso s
pessoas como sendo o elo mais fraco da cadeia de segurana da informao,
embora o mais correto talvez seja dizer que as pessoas so o elo essencial.
Trs pesquisas realizadas no CEGSIC 2007-2008 abordaram a relao entre
as pessoas e a segurana da informao organizacional. O primeiro dos
trabalhos, desenvolvido por Paulo Csar Cardoso Rocha (ROCHA, 2008b),
aborda as razes para o comportamento inapropriado de usurios de TI. O
segundo trabalho, desenvolvido por Renato do Carmo das Neves Alves
(ALVES, 2009), apresenta um modelo de anlise quantitativo para medio
do comportamento de segurana, que pode ser aplicvel a servidores
pblicos. O terceiro trabalho, realizado por Roberto Ribeiro Bastos
(BASTOS, 2009), realiza uma anlise da poltica de segurana da
informao na Marinha e sua relao com o componente humano.
A defesa da monografia de Paulo Rocha ocorreu no dia 15 de dezembro de
2008 e foi avaliada pela banca composta por Priscila America Solis Mendez
Barreto (orientadora), Jorge Henrique Cabral Fernandes e Pedro de Azevedo
Berger. A defesa da monografia de Renato Alves ocorreu no dia 22 de junho
32
58
de 2009, e foi avaliada pela banca composta por Jorge Henrique Cabral
Fernandes (orientador), Joo Jos Costa Gondim e Magda Fernanda
Medeiros Fernandes. A defesa da monografia de Roberto Ribeiro Bastos
ocorreu no dia 16 de julho de 2009, e foi avaliada pela banca composta por
Jorge Henrique Cabral Fernandes (orientador), Joo Jos Costa Gondim e
Magda Fernanda Medeiros Fernandes.
8.1 SEGURANA DA INFORMAO: UMA QUESTO NO
APENAS TECNOLGICA, por Paulo Csar Cardoso Rocha
O foco do trabalho, ao abordar a rea de segurana da informao, discutir
razes para o comportamento inapropriado dos funcionrios e apresentar
solues para mitigar as vulnerabilidades organizacionais em razo do
comportamento humano. De forma especfica, busca-se listar e exemplificar
condutas comportamentais que tornam o sistema de segurana vulnervel;
abordando a padronizao de condutas para mitigar o risco. Desta forma, o
trabalho pretende salientar a importncia do componente comportamental
nos processos de Aprendizagem Organizacional nas instituies pblicas,
assim como a preponderncia da mudana comportamental. Os resultados
obtidos sugerem um modelo para a formulao de polticas de segurana da
informao baseadas em moldes afeitos ao domnio das cincias sociais e
construdas com nfase na observao dos sistemas de informao e no
contexto em que se inserem.
Palavras-chave: Segurana da Informao; Polticas de Segurana da
Informao; Componente Comportamental.
8.2 UM MODELO DE ANLISE DO COMPORTAMENTO DE
SEGURANA DE SERVIDORES DA ADMINISTRAO PBLICA
FEDERAL BRASILEIRA, por Renato do Carmo das Neves Alves
O trabalho prope um modelo de anlise do comportamento de segurana
dos servidores pblicos da Administrao Pblica Federal, estabelecendo
uma relao entre o nvel de conhecimento e conscientizao dos servidores
das organizaes pblicas, em relao s normas e prticas de segurana da
informao no ambiente de trabalho, devendo mensurar o grau de
comprometimento de cada servidor para com os ativos da organizao e a
sua preocupao com a segurana da informao. Pretende-se demonstrar
que para o sucesso na implantao de um modelo de anlise do
comportamento dos servidores pblicos, os responsveis pela organizao
pblica, bem como pela segurana da informao na organizao, tero
como responsabilidade desenvolver, melhorar e construir mecanismos que
59
60
CAPTULO 9
POLTICAS DE SEGURANA DA
INFORMAO
A experincia de praticantes e pesquisadores de segurana da informao
tem demonstrado que o estabelecimento e manuteno de polticas de
segurana uma rdua tarefa (NETTO et al., 2008; TRIBUNAL DE
CONTAS DA UNIO, 2008; PELTIER, 1998). Hoje j h normas federais
que disciplinam o desenvolvimento de polticas de segurana da informao
e comunicaes em rgos da APF, como a criada pelo DEPARTAMENTO
DE SEGURANA DA INFORMAO E COMUNICAES DO GSIPR,
(2009a), que confere direitos e deveres ao gestor pblico, no que concerne
proteo dos sistemas e da informao pblicos.
Duas pesquisas do CEGSIC 2007-2008 abordaram de forma explcita o
desenvolvimento de polticas de segurana da informao e polticas de
segurana da informao e comunicaes. O trabalho de Danielle Rocha da
Costa (COSTA, 2008a) pesquisou os fatores crticos de sucesso que devem
ser considerados por gestores durante o estabelecimento de polticas de
segurana da informao. O trabalho de In Lcia Cipriano de Oliveira
Monteiro (MONTEIRO, 2009) apresenta uma proposta de guia para
elaborao de polticas de segurana da informao e comunicaes para
rgos da APF.
A defesa da monografia de Danielle Rocha ocorreu no dia 15 de dezembro
de 2008, e foi avaliada pela banca composta por Gilberto de Oliveira Netto
(orientador), Jorge Henrique Cabral Fernandes e Mamede Lima-Marques. A
defesa da monografia de In Monteiro ocorreu no dia 25 de junho de 2009, e
61
foi avaliada pela banca composta por Gilberto de Oliveira Netto (orientador),
Magda Fernanda Medeiros Fernandes e Jorge Henrique Cabral Fernandes.
9.1 FATORES CRTICOS DE SUCESSO PARA ELABORAO DE
POLTICAS DE SEGURANA NA APF, por Danielle Rocha da
Costa
Considerando a importncia de uma poltica de segurana da informao e
comunicaes como instrumento estratgico para as organizaes, o trabalho
prope um modelo de formulao de polticas no mbito da Administrao
Pblica Federal, baseado na adoo de um conjunto de fatores considerados
crticos para o sucesso dessa atividade. Os resultados obtidos originaram um
conjunto de Fatores Crticos de Sucesso, os quais foram identificados por
uma sequencia de procedimentos que fazem parte de um processo de
elaborao de uma poltica de segurana da informao e comunicaes.
Palavras-chave: Segurana da Informao, Polticas, Fatores Crticos de
Sucesso, Administrao Pblica Federal.
9.2 PROPOSTA DE UM GUIA PARA ELABORAO DE
POLTICAS DE SEGURANA DA INFORMAO E
COMUNICAES EM RGOS DA ADMINISTRAO PBLICA
FEDERAL (APF), por In Lcia Cipriano de Oliveira Monteiro
A necessidade de segurana um fator que vem transcendendo os limites de
uma organizao, pois pode ser aplicada a pessoas, processos, tecnologia e
prpria informao. Apesar de vrios trabalhos relacionados ao tema
Segurana da Informao, pouco enfoque tem sido dado definio de um
conjunto de diretrizes e procedimentos coerentes, que auxiliem a elaborao
de uma Poltica de Segurana da Informao e Comunicaes. Uma Poltica
deve indicar como as coisas devem acontecer em uma organizao no que se
refere segurana da informao, ou seja, quais as regras, normas e
procedimentos que determinam qual deve ser o comportamento das pessoas
que se relacionam com a organizao. Visando suprir esta deficincia, o
trabalho apresenta uma proposta de um guia para auxiliar na elaborao de
Polticas de Segurana da Informao e Comunicaes em Organizaes da
Administrao Pblica Federal, baseado em uma srie de padres, normas e
bibliografias de referncia, cuja contribuio a de um controle essencial em
assuntos relacionados com segurana da informao.
Palavras-chave: Segurana da Informao, Poltica de Segurana da
Informao, Normas e Padres de Segurana, Guia de Poltica de
Segurana da Informao e Comunicaes.
62
63
CAPTULO 10
GESTO DO RISCO DE
SEGURANA DA INFORMAO
A gesto do risco de segurana da informao (ISO/IEC, 2007) um
processo sistemtico, adotado na gesto da segurana da informao, que
realiza a identificao dos eventos potencialmente negativos para a
segurana de uma organizao, chamados de riscos de segurana, e em
seguida formula um ou mais planos que permitam o tratamento destes riscos
de forma custo-efetiva, por meio da adoo de controles e outras aes
gerenciais.
Hoje a aplicao da gesto de riscos de segurana da informao na
administrao pblica federal disciplinada pela Norma Complementar 04
do DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR (2009b).
No CEGSIC 2007-2008 foram desenvolvidas duas monografias que
abordam de forma explcita os mtodos e processos de gesto do risco de
segurana. A monografia de Paulo Hideo Ohtoshi (OHTOSHI, 2008) realiza
uma anlise comparativa entre vrias metodologias de gesto e anlise de
riscos. A monografia de Pedro Jorge Sucena (SILVA, 2009) apresenta uma
proposta de metodologia de alto nvel para a anlise e avaliao do risco, que
possa ser empregada por organizaes da APF.
A defesa da monografia de Paulo Ohtoshi ocorreu no dia 10 de dezembro de
2008, e foi avaliada pela banca composta por Edgard Costa Oliveira
(orientador), Jos Carlos Ralha e Jorge Henrique Cabral Fernandes. A
monografia de Pedro Sucena foi defendida e aprovada no dia 23 de junho de
64
2009, perante uma banca composta por Jorge Henrique Cabral Fernandes
(orientador), Edgard Costa Oliveira e Jacir Luiz Bordim.
10.1 ANLISE COMPARATIVA DE METODOLOGIAS DE GESTO
E DE ANLISE DE RISCOS SOB A TICA DA NORMA ABNT NBR
ISO/IEC 27005, por Paulo Hideo Ohtoshi
O trabalho de pesquisa visa ao aprimoramento da Gesto de Segurana de
Sistemas de Informao e Comunicaes da Administrao Pblica Federal.
Rene os conceitos recentes de gesto de riscos, descreve as principais
metodologias e ferramentas de gesto e de anlise de riscos existentes no
mundo. Apresenta um estudo comparativo entre as principais metodologias e
ferramentas e serve como instrumento de avaliao que pode ser utilizado na
escolha da metodologia a ser aplicada pelos rgos Administrao Pblica
Federal. Os resultados do trabalho so um inventrio de metodologias e
ferramentas e quadros comparativos que destacam algumas qualidades e
benefcios que cada uma delas oferece. O estudo dessas normas,
metodologias e ferramentas demonstra uma tendncia de convergncia e de
integrao entre essas metodologias.
Palavras-chave: Gesto de Riscos, Normas, Metodologias, Ferramentas,
Inventrio, Anlise Comparativa, Riscos, Ameaas, Vulnerabilidades,
Conformidade.
10.2 ANLISE/AVALIAO DE RISCOS DE SEGURANA DA
INFORMAO PARA A ADMINISTRAO PBLICA FEDERAL:
UM ENFOQUE DE ALTO NVEL BASEADO NA ABNT NBR
ISO/IEC 27005, por Pedro Jorge Sucena Silva
O trabalho apresenta um modelo preliminar de anlise/avaliao de riscos de
segurana da informao, capaz de identificar os riscos com alto potencial de
impacto em uma organizao pblica. A anlise/avaliao de riscos uma
atividade do processo de gesto de riscos em que so identificados os riscos
e seus componentes (ativos, ameaas, vulnerabilidades e consequncias). A
probabilidade de ocorrncia do cenrio de risco e suas consequncias so
avaliadas, resultando em um nvel de risco. Esse risco ento avaliado
segundo critrios pr-definidos que determinaro a sua importncia para a
organizao. A norma ISO/IEC 27005 recomenda iniciar o processo de
gesto de riscos com uma anlise/avaliao com um enfoque de alto nvel,
isto , uma abordagem mais global que vise os principais riscos que
envolvem o negcio. uma abordagem simplificada que considera os
aspectos tecnolgicos de forma independente das questes de negcio. A
partir dos resultados dessa primeira iterao possvel definir as prioridades,
os riscos que precisam ser detalhados em uma segunda iterao e uma
65
66
67
CAPTULO 11
INCIDENTES DE SEGURANA DA
INFORMAO
A prtica da segurana da informao fortemente associada ao tratamento
de incidentes, pois por meio desse tratamento que os praticantes da
segurana oferecem auxlio direto aos usurios de sistemas de informao e
plataformas tecnolgicas, bem como por meio da anlise das informaes
coletadas durante o tratamento de incidentes que se pode compreender, de
forma mais precisa, as condies da segurana da informao num espao
organizacional ou tecnolgico.
Hoje j h pelo menos duas normas federais que disciplinam o tratamento de
incidentes de segurana da informao em rgos da APF: Norma
Complementar 05 do DEPARTAMENTO DE SEGURANA DA
INFORMAO E COMUNICAES DO GSIPR (2009c), que orienta a
criao de equipes de tratamento de incidentes; e Norma Complementar 08
do DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR (2010b), que define diretrizes para
gerenciamento de redes computacionais.
No CEGSIC 2007-2008, a monografia desenvolvida por Roberto Moutella
Pimenta (PIMENTA, 2008) foi diretamente relacionada ao tema gesto de
68
33
69
CAPTULO 12
GESTO DE CRISES
ORGANIZACIONAIS
Segundo Smith e Elliot (2006), crises so fenmenos emergentes e errticos,
que se movimentam dentro do sistema complexo que uma organizao, e
que normalmente so disparadas por um incidente ou outro conjunto de
circunstncias de origem interna ou externa organizao. Crises no
ocorrem "da noite para o dia". Pelo contrrio, expem uma vulnerabilidade
inerente que foi incubada dentro da organizao durante um longo perodo
de tempo.
No CEGSIC 2007-2008 duas pesquisas versaram sobre o assunto Gesto de
Crises. A monografia de Gerson Charbel Costa (COSTA, 2008c) props
uma abordagem para a Gesto de Crises no mbito da APF, visando a
reduo de prejuzos ao errio devidos a demandas judiciais decorrentes. A
monografia de Gilberto Palmeira (PALMEIRA JNIOR, 2008) explorou a
aplicabilidade da tipologia de crises de Mitroff (MITROFF; PAUCHANT;
SHRIVASTAVA, 2006) para o enquadramento de uma srie de fenmenos
danosos que ocorreram de forma vinculada a organizaes da APF nos
ltimos anos e que foram enquadrados como sendo crises.
A monografia de Gerson Charbel foi defendida no dia 10 de dezembro de
2008, perante uma banca composta por Tatiana Vieira Malta (orientadora),
Joo Jos Costa Gondim e Jorge Henrique Cabral Fernandes. A monografia
de Gilberto Palmeira foi defendida no dia 15 de dezembro de 2008, perante
uma banca composta por Jorge Henrique Cabral Fernandes (orientador),
Joo Jos Costa Gondim e Magda Fernanda Medeiros Fernandes.
70
de
Crises,
Responsabilidade
Civil,
72
73
CAPTULO 13
CRIPTOGRAFIA E
INFRAESTRUTURA DE CHAVES
PBLICAS
Os mtodos, tcnicas, processos, ferramentas e sistemas criptogrficos,
conceitualmente expostos em livros como Stallings (2008) e Schneier
(2001), so frequentemente usados como blocos construtores de solues
mais complexas de segurana computacional, como stios de comrcio
eletrnico, que dependem de uma infraestrutura de chaves pblicas.
No CEGSIC 2007-2008, duas monografias abordaram questes relativas
proteo ao sigilo da informao quando em trnsito ou durante
armazenamento, por meio da criptografia. O trabalho de Jorge Euler Vieira
(VIEIRA, 2008) props uma Soluo de Certificao Digital para o Exrcito
Brasileiro. O trabalho desenvolvido por Edilson Fernandes da Cruz (CRUZ,
2009) apresentou uma reviso histrica do papel da criptografia na proteo
das comunicaes no Brasil e no mundo.
A monografia de Jorge Euler foi defendida em 15 de dezembro de 2008,
perante uma banca composta por Jos Ricardo Camelo (orientador), Jorge
Henrique Cabral Fernandes e Joo Jos Costa Gondim. A defesa da
monografia de Edilson da Cruz ocorreu no dia 31 de julho de 2009 e foi
avaliada pela banca composta por Joo Jos Costa Gondim (orientador),
Priscila America Solis Mendez Barreto e Jorge Henrique Cabral Fernandes.
13.1 PROPOSTA DE UMA SOLUO DE CERTIFICAO
DIGITAL PARA O EXRCITO BRASILEIRO, por Jorge Euler Vieira
74
75
CAPTULO 14
76
77
CAPTULO 15
SEGURANA EM
TELECOMUNICAES E REDES
DE COMPUTADORES
O intenso aumento da conectividade entre sistemas computacionais por meio
das redes de computadores e sistemas de telecomunicaes ofereceu,
simultaneamente, uma grande oportunidade e vrias ameaas para a
segurana computacional e para a segurana da informao e segurana das
comunicaes.
No CEGSIC 2007-2008, foram desenvolvidas trs monografias que abordam
temas relacionados segurana de redes de computadores e sistemas de
telecomunicaes. A monografia de Everardo de Lucena Tavares
(TAVARES, 2008) foi desenvolvida sob um tema que combina
Comunicaes Operacionais Multimdia e Comunicaes Mveis em rede
mesh 802.11s. A monografia de Marcos Ambrogi Leite (LEITE, 2008)
abordou prticas nos servios de telefonia da Administrao Pblica Federal.
A monografia de Lindeberg Pessoa Leite (LEITE, 2009) abordou a
implantao do IPv6 no Brasil.
A monografia de Everardo Tavares foi defendida no dia 1 de dezembro de
2008, perante uma banca composta por Jacir Luiz Bordim (orientador), Joo
Jos Costa Gondim e Jorge Henrique Cabral Fernandes. A monografia de
Marcos Ambrogi Leite foi defendida no dia 1 de dezembro de 2008, perante
uma banca composta por Jacir Luiz Bordim (orientador), Joo Jos Costa
78
80
81
CAPTULO 16
GESTO DA SEGURANA DA
INFORMAO E COMUNICAES
Uma organizao no detm nem jamais deter controle pleno sobre os
eventos do seu ambiente, sejam o interno ou o externo. Portanto, sujeita-se
aos riscos. Decorre da exposio ao risco a necessidade de aes que
consistem em:
observar os eventos passados e as condies da situao presente;
estimar as chances de eventos potenciais no futuro (riscos) que
influenciem a organizao de forma negativa (riscos de segurana)
ou positiva; e
adotar decises e controles para neutralizar os riscos negativos,
garantindo o alcance de condies desejveis no futuro.
D-se o nome de gesto da segurana a este conjunto de aes, quando
realizadas de forma intencional, planejada, organizada, monitorada e
controlada.
No CEGSIC 2007-2008, foram desenvolvidas 4 monografias que adotaram a
perspectiva de gesto para a melhoria da segurana. A monografia de
Silvana Crispim Loureiro (LOUREIRO, 2008) apresenta uma reviso
bibliogrfica dos conceitos relacionados ao estabelecimento de um SGSI,
tomando por base a situao da Advocacia Geral da Unio. A monografia de
Antnio Carlos Pereira de Britto (BRITTO, 2008) relatou o uso de uma
metodologia de implementao de SGSI baseada no modelo PMBOK,
desenvolvida pelo autor no ano de 2006. A monografia de Juscelino Kilian
82
84
85
86
CAPTULO 17
SEGURANA EM COMPRAS E
CONTRATOS DE TI
As compras e contratos do governo brasileiro so regidas pela Lei 8.666, de
21 de junho de 1993. A aquisio e implementao de sistemas de tecnologia
da informao encontram-se em fase de regulao na esfera Federal,
especialmente pela Instruo Normativa 04 da SECRETARIA DE
LOGSTICA E TECNOLOGIA DA INFORMAO DO MINISTRIO DO
PLANEJAMENTO, ORAMENTO E GESTO (2008), a qual "dispe
sobre o processo de contratao de servios de Tecnologia da Informao
pela Administrao Pblica Federal direta, autrquica e fundacional." Em
adio realidade complexa envolvida no processo das compras pblicas em
TI, destaca-se o desafio do domnio gerencial e tecnolgico sobre os servios
e produtos que implementam controles de segurana da informao,
qualquer que seja a natureza dos mesmos. Os controles de segurana
apresentam complexas formas de funcionamento, e o grau de domnio
necessrio sobre esses, por parte das organizaes pblica contratantes e
adquirentes, demanda um processo bastante elaborado, onde surge
necessidade de tratar, ainda durante a aquisio, aspectos como
monitoramento, aprimoramento e continuidade do servio ou produto. A
especificao,
contratao,
aquisio,
implementao,
operao,
monitoramento e aprimoramento de controles de segurana constituem-se
um dos grandes desafios gesto da segurana da informao e
comunicaes.
Se ainda acrescenta-se a este cenrio as possveis demandas atuais e futuras
pela criao de uma indstria de produtos e servios de segurana
87
88
CAPTULO 18
GOVERNANA, CONTROLE,
AUDITORIA, CONFORMIDADE E
CERTIFICAO
Os temas Governana, Controle, Auditoria, Conformidade e Certificao so
interrelacionados. por meio da conformidade aos controles, atestada
especialmente atravs de relatos de auditoria, que a alta administrao pode
reduzir a incerteza sobre o alinhamento de interesses entre as reas de gesto
e de operao. De outra forma, por meio da conformidade aos controles,
atestada atravs de um certificado de conformidade, que o cliente de uma
organizao pode reduzir a incerteza acerca dos procedimentos e processos
realizados por um fornecedor atual ou potencial.
No CEGSIC 2007-2008, foram desenvolvidas 8 monografias relacionadas
aos temas Governana, Controle, Auditoria, Conformidade e (ou)
Certificao. Kleber Ferreira Rangel (RANGEL, 2008) realizou um
levantamento de requisitos e controles de segurana para o Portal de
Inteligncia Operacional do Estado Maior de Defesa. Henrique Aparecido da
Rocha (ROCHA, 2008a) props um cenrio para aplicao da norma NBR
ISO/IEC 27002:2005 em auditorias governamentais do sistema de controle
interno implementado pela CGU. Newton Daltro Santos (SANTOS, 2008)
discorreu sobre o paradigma da auditoria baseada em cenrios de risco.
Rogrio Xavier Rocha (ROCHA, 2008c) elaborou uma proposta de
procedimento simplificado de auditoria de gesto em segurana da
informao em rgos do Poder Executivo Federal. Rubem Ribeiro Veloso
(VELOSO, 2008) fez uma avaliao de conformidade na Marinha do Brasil
89
90
93
94
CAPTULO 19
GESTO DA CONTINUIDADE
Segundo a ASSOCIAO BRASILEIRA DE NORMAS TCNICAS
(2008), continuidade de negcios uma capacidade estratgica e ttica de
uma organizao de se planejar e responder a incidentes de grandes
propores, desastres ou interrupes de negcios significativas, para
conseguir continuar suas operaes em um nvel aceitvel previamente
definido.
Na Administrao Pblica Federal j dispomos de uma norma que regula a
gesto da continuidade no servio pblico, que a NC 06 do
DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES DO GSIPR (2009d), de 11 de novembro de 2009.
No CEGSIC 2007-2008, foram desenvolvidas 3 monografias relacionadas ao
temas da gesto da continuidade. A monografia de Idilson Alexandre
Palhares Cassilhas (CASSILHAS, 2008) realizou uma Anlise da Atividade
de Testes do Plano da Continuidade de Negcio em um setor da Marinha do
Brasil, avaliando sua Conformidade com a Norma ABNT NBR ISO/IEC
17799:2005. A monografia de Antnio Magno Figueiredo de Oliveira
(OLIVEIRA, 2008) envolveu pesquisa qualitativa e quantitativa acerca do
Nvel de Compreenso da Gesto da Continuidade dos Negcios junto a
gestores de segurana de organizaes pblicas. Vitor Friedenhain
(FRIEDENHAIN, 2008) fez um levantamento de Mtodos e Processos para
a Implantao da Gesto da Continuidade de Negcios que poderiam ser
aplicveis a rgos da Administrao Pblica Federal.
A defesa da monografia de Idilson Alexandre Palhares Cassilhas ocorreu no
dia 01 de dezembro de 2008, e foi avaliada pela banca composta por Jacir
95
Luiz Bordim (orientador), Joo Jos Costa Gondim e Jorge Henrique Cabral
Fernandes. A monografia de Vitor Friedenhain foi defendida no dia 10 de
dezembro de 2008, perante banca composta por Jorge Henrique Cabral
Fernandes (orientador), Tatiana Vieira Malta e Joo Roberto V. Guimares.
A monografia de Antnio de Oliveira foi defendida no dia 15 de dezembro
de 2008, perante banca composta por Jorge Henrique Cabral Fernandes
(orientador), Joo Jos Costa Gondim e Magda Fernanda Medeiros
Fernandes.
19.1 UMA ANLISE DA ATIVIDADE DE TESTES DO PLANO DE
CONTINUIDADE DE NEGCIO E SUA CONFORMIDADE COM A
NORMA ABNT NBR ISO/IEC 17799:2005, por Idilson Alexandre
Palhares Cassilhas
Um Plano de Continuidade de Negcio (PCN) uma descrio detalhada das
aes que devem ser tomadas em resposta a uma interrupo sbita e
inesperada de um dado servio, permitindo que a organizao continue
trabalhando mesmo com uma reduo aceitvel do desempenho de seus
processos. A rede integrada de comunicaes de uma instituio como a
Marinha do Brasil, que possui diversas organizaes militares interligadas e
espalhadas por todo o territrio nacional, para ser considerada um sistema
bem sucedido e que mantm a continuidade de seus negcios durante uma
falha ou qualquer acontecimento brusco e imprevisto, deve possuir
capacidade de oferecer os servios essenciais requeridos por seus usurios,
preservando as suas principais conexes e componentes durante o tempo que
for necessrio para o reestabelecimento da situao normal de operao. Tal
capacidade conseguida atravs de preparao, planejamento, investimento
e, principalmente, por meio da implementao de um Plano de Continuidade
de Negcio (PCN), precedido de uma anlise detalhada sobre cada um dos
ativos que fazem parte dessa grande infraestrutura e dos seus respectivos
riscos. Esta pesquisa visa averiguar se a atividade de testes de continuidade
de negcio aplicada ao servio fixo de comunicaes da Marinha do Brasil
eficaz e se est em conformidade com as melhores tcnicas e prticas para a
Gesto da Segurana da Informao e Comunicaes, previstas na Norma
ABNT NBR ISO/IEC 17799:2005.
Palavras-chave: Marinha do Brasil, Continuidade, PCN, Conformidade,
Comunicaoes.
19.2 UM ESTUDO SOBRE MTODOS E PROCESSOS PARA A
IMPLANTAO DA GESTO DE CONTINUIDADE DE NEGCIOS
APLICVEIS A RGOS DA ADMINISTRAO PBLICA
FEDERAL BRASILEIRA, por Vitor Friedenhain
O trabalho apresenta um estudo sobre mtodos e processos para a
implantao da Gesto de Continuidade de Negcios (GCN) aplicveis a
96
98
CAPTULO 20
SEGURANA E DEFESA
CIBERNTICAS
Pesquisa do CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA
INFORMAO E DA COMUNICAO - CETIC.br (2008) sobre uso das
TICs no Brasil, realizada no ano de 2008, revela que:
Cerca de 1/4 da populao brasileira estava usando a Internet;
a quase totalidade das organizaes privadas e pblicas faz acesso
Internet;
cerca de 1/5 das organizaes brasileiras ofertam servios (na
Internet) atravs de Extranet.
De uma forma ou de outra, organizaes do pas conectam seus sistemas de
informao e comunicao Internet, a fim de permitir o compartilhamento
e o acesso a informaes e servios providos pela Internet. H ntida
percepo, no s aqui no Brasil mas especialmente nos EUA, que cada
vez maior a diferena entre o aumento da exposio dos SICs pblicos s
redes mundiais e o tempo de resposta da administrao pblica no sentido de
preservar a segurana destes SICs. Apresenta-se desta forma, com extrema
relevncia, as pesquisas sobre a segurana nas redes abertas, associadas ao
conceito de Segurana Ciberntica.
99
101
CAPTULO 21
EPLOGO
Decorridos praticamente um ano desde a formatura da primeira turma de
especialistas do CEGSIC, CEGSIC 2007-2008, cujos resumos de trabalhos
foram aqui apresentados, se pode dizer com certa confiana que o CEGSIC
20072008 apresentou valiosas contribuies diretas e indiretas para a
formulao de uma Metodologia Brasileira de Gesto da Segurana da
Informao e Comunicaes. reas temticas foram mapeadas, relaes de
troca de informao entre servidores pblicos da esfera federal foram
fortalecidas, estudos organizacionais foram realizados, revelando
fragilidades que passaram a ser melhor compreendidas e sanadas.
Do ponto de vista da instituio universitria brasileira, se apresentam
grandes oportunidades de contribuio para o fortalecimento do Estado
brasileiro.
Falando em nome de todos os que contriburam para a produo do
conhecimento aqui apenas parcialmente registrado, esperamos que este livro
possa lanar sementes de reflexo, discusso, investigao, proposta e
implementao de solues para a melhoria da gesto pblica sobre o ponto
de vista da segurana.
102
103
REFERNCIAS BIBLIOGRFICAS
ALBERTS, C.; DOROFEE, A. Managing Information Security Risks:
The OCTAVE Approach. [S.l.]: Addison Wesley, 2002. 512 p.
ALVES, R. do Carmo das N. Um Modelo de Anlise do
Comportamento de Segurana de Servidores da Administrao
Pblica Federal Brasileira. [S.l.], 6 2009. Monografia de Concluso de
Curso (Especializao) Departamento de Cincia da Computao,
Instituto de Cincias Exatas, Universidade de Braslia.
ANDERSON, R. security Engineering: a guide to building dependable
distributed systems. USA: John Wiley and Sons, 2001. 612 p.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia
da informao - Tcnicas de segurana - Cdigo de prtica para a
gesto da segurana da informao: ABNT NBR ISO/IEC
27002:2005. 2a. ed. Rio de Janeiro, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia
da informao - Tcnicas de segurana - Sistemas de gesto de
segurana da informao - Requisitos: ABNT NBR ISO/IEC
27001:2006. 1a. ed. Rio de Janeiro, 2006.
104
105
106
107
108
110
112
113
114
115
116
117
118
119
120
121