ndice Analtico

I.

Segurana Estratgica da Informao ..................................................................5

Objetivos da Segurana da Informao ..................................................................12

II. Pilares da Segurana da Informao ..................................................................14

Conceitos ....................................................................................................................15
Confidencialidade .................................................................................................15
Integridade.............................................................................................................16
Disponibilidade......................................................................................................16
Aspectos .....................................................................................................................17
Autenticao ..........................................................................................................17
Autorizao ............................................................................................................17
Auditoria ................................................................................................................18
Autenticidade.........................................................................................................18
No Repdio ..........................................................................................................19
Legalidade ..............................................................................................................19
III.
Diviso da Segurana da Informao .........................................................20
Segurana Fsica e do Ambiente ..............................................................................21
Segurana pessoal .................................................................................................21
Segurana patrimonial .........................................................................................21
Segurana das edificaes ....................................................................................22
Segurana de infra-estruturas .............................................................................22
Classificao de permetros de segurana ..........................................................22
Controles de acessos ..............................................................................................22
Eventos naturais ....................................................................................................23
Eventos sociais .......................................................................................................23
Segurana Lgica e Sistmica ..................................................................................24
Permetro lgico de segurana .............................................................................24
Redes ......................................................................................................................24
Segurana de sistemas e Hosts .............................................................................25
Controle de acesso .................................................................................................25
Segurana em Pessoas...............................................................................................26
Engenharia social ..................................................................................................26
Acompanhamento de pessoal ...............................................................................26
Conscientizao .....................................................................................................27
Educao ................................................................................................................27
Poltica de segurana ............................................................................................28
Gerncia de mudana ...........................................................................................28

Quebra de paradigma social ................................................................................29

Controle e monitorao ........................................................................................30
Reforo negativo ou positivo ................................................................................30
Ciclo de vida da informao.........................................................................................32
Fases do Ciclo ............................................................................................................32
Manipulao ..............................................................................................................32
Armazenamento ........................................................................................................33
Transporte .................................................................................................................33
Descarte......................................................................................................................34
IV. Gesto da Segurana da Informao ..................................................................35
SGSI Sistema de Gesto da Segurana da Informao ......................................35
Information Security Officer (Gestor de Segurana da Informao) ..............36
Atribuies do Information Security Officer .................................................36
Conselho de Segurana .........................................................................................37
Atribuies do Conselho de Segurana ...........................................................37
Plano Diretor de Segurana da Informao - PDSI ..........................................38
V. Poltica de Segurana da Informao .................................................................39
Objetivos da Poltica de Segurana .........................................................................41
Desenvolvimento da Poltica de Segurana ............................................................45
Realizao de Campanha de Conscientizao ........................................................47
Conscientizao .....................................................................................................48
Educao ................................................................................................................48
Treinamento ..........................................................................................................49
Implantao da Poltica ........................................................................................49
VI. Norma BS 7799 ......................................................................................................50
Objetivo da Norma ...................................................................................................51
Controles requeridos pela Norma ...........................................................................51
Seleo dos controles.................................................................................................53

Introduo
A Segurana Estratgica da Informao, qual estamos vivenciando o surgimento como rea do
conhecimento, rea esta que se utiliza da vrias cincias psicologia, sociologia, tecnologia,
administrao, arquivologia, antropologia, forense, direito, etc. - de vital importncia para o mundo
corporativo, governamental e mesmo para o mundo privado e pessoal sem a segurana este tende a
desaparecer.
Uma frase muito dita nos ltimos tempos : A informao um dos ativos mais valiosos das
organizaes. No poderia ser diferente, afinal estamos em plena transio da era da informao para a
era do conhecimento, conhecimento este que necessita de informaes para que seja adquirido e
compartilhado. Nada mais natural que se procure, portanto, assegurar que este ativo to importante s
organizaes esteja em total segurana. Sim, natural, mas isto no significa necessariamente que todas
as organizaes estejam preparadas para a tarefa de manter suas informaes em segurana.
Nesta apostila vou procurar apresentar a Segurana Estratgica da Informao de maneira didtica e
mostrar o que necessrio para que ela seja implementada, sem a pretenso de esgotar o assunto ou
fazer deste trabalho a verdade sobre segurana da informao, pois esta a minha viso sobre este
assunto, e nem sei por quanto tempo esta viso permanecer. Espero que por pouco, pois ao mudar
estarei evoluindo, assim como a Segurana Estratgica da Informao evoluir.
O fator humano o elo mais fraco da segurana1
Vou apresentar tambm alguns conceitos de Gesto de Riscos e Continuidade de Negcios, que ao
meu ver so indissociveis do tema Segurana da Informao.

Mitnick, Kevin D. - A Arte de Enganar. Makron Books, 2003

Clemente Nbrega diz, em seu livro Antropomarketing [Senac Rio 2002], que Marketing sobre
o ser humano, onde Precisamos compartilhar significados para obter reciprocidade e ficar vivos. Eu
ouso adaptar suas palavras para: Segurana da Informao sobre o ser humano, onde precisamos
compartilhar responsabilidades e conhecimentos para obter reciprocidade e ficar vivos, no sentido de
continuidade.
Esta viso corroborada por uma das mximas da Segurana da Informao que afirma que A
Segurana da Informao se mede pela segurana de seu elo mais fraco: o ser humano.
Lembrem-se: Errar humano, e trapacear tambm!
A transio da era da informao para a era do conhecimento, apesar de parecer e em alguns
casos no passar mesmo de apenas clich modista para gurus e vendedores de milagres corporativos,
de fundamental importncia para o tema e para que entendamos a expanso do escopo e da abordagem
que o assunto passa a exigir. Mal comeamos a aplicar conceitos de Segurana da Informao e j nos
apresentado a Segurana do Conhecimento. J utilizamos conceitos e prticas de Segurana do
Conhecimento h muito tempo, como no caso de proteo e segredos de propriedades industriais e
intelectuais, mas o escopo deve ser ampliado e fundido ao da Segurana da Informao, que
convencionei chamar de Segurana Estratgica da Informao.

I. Segurana Estratgica da Informao

Informao: dados coletados, combinados e contextualizados que explicam e informam fatos
(passado).
Conhecimento: absoro e aplicao da informao de maneira a gerar valor, propor solues e
apresentar tendncias (presente e futuro).

A Informao um ativo importante das organizaes, e em muitos casos o mais importante, e como
tal deve ser protegido adequadamente durante todo seu ciclo de vida: criao, manipulao,
armazenamento, transporte e descarte.
Por informao, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios
eletrnicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando
contextualizados geram informaes e conhecimentos de valor para a empresa. Sendo o conhecimento
adquirido a partir da informao, este deve ser englobado no nosso escopo de trabalho para que tambm
seja protegido. Isso nos remete gesto do conhecimento, tema que no ser tratado aqui, mas que
verdadeiramente importante neste contexto.

O conhecimento que no est em suporte fsico ou eletrnico, que o conhecimento tcito de

funcionrios chaves e estratgicos, tambm deve ser considerado no SGSI (Sistema de Gesto de
Segurana da Informao) e sempre que possvel deve ser transformando em conhecimento explcito documentado - para que possa ser compartilhado e perpetuado (disponibilidade). Isso nos coloca em um
processo cclico, pois informaes geram conhecimentos que, por sua vez, geram novas informaes.
Todas estas informaes devem ser protegidas devido o valor que representam para as organizaes.

Informao um bem estratgico para as organizaes, principalmente para as organizaes do

conhecimento, mas no limitado a estas, pois informaes e conhecimentos so, em muitos casos, mais
valiosos que os bens fsicos. Sendo assim, imprescindvel que todas as aes de segurana sejam
tomadas com participao efetiva e apoio direto, explcito e irrestrito da alta direo da organizao,
pois segurana deixou de ser apenas opo ou diferencial competitivo, estratgica.

Ativo: qualquer coisa que tenha valor para a organizao [ISO/IEC 1335-1:2004]

Em sendo estratgico, e aqui me lembro bem do professor Altino [Introduo Administrao UNIBERO:2000] que no se cansava de nos apresentar a pirmide hierrquica: estratgica no topo;
ttico na rea central e operacional na base.
A responsabilidade pela segurana da informao toda a organizao, mas para que seja
estratgica, cuidando de ativos estratgicos, deve ter como principais responsveis os gestores das reas
de negcio, sob a coordenao ou direo de um especialista no assunto, ou por um diretor apoiado por
consultores, uma vez que o tema traz consigo uma srie de fatores tcnicos e multidisciplinares.
A Gesto da rea, e assuntos especficos relativos Segurana da Informao, deve estar, portanto,
sob a tutela de um cargo situado no plano estratgico da hierarquia. CSO (Chief Security Officer), para
os que preferem termos americanos, ou simplesmente Diretor de Segurana da Informao, em bom
portugus. Este cargo, ou funo, pode ser desempenhado pelo prprio Diretor de Riscos Corporativos, e
em outros casos em que a empresa no comporte tal cargo, pode ser dado como funo e
responsabilidade a outro diretor, mas deve estar no nvel estratgico e h que se ter um verdadeiro
compromisso e responsabilidade com tal funo. Este diretor deve ser assessorado por especialistas nos
diversos domnios que a Segurana da Informao engloba, ainda que consultores externos.

A gesto ou administrao da Segurana da Informao pode ser delegada, mas a responsabilidade

recair sempre sobre os gestores do negcio. destes a responsabilidade, inclusive legal, de zelar pela
segurana, resilincia e continuidade dos negcios.
No se pode esperar que processos estratgicos sejam implementados a partir de nveis tticos ou
operacionais, pois o conflito de interesse - principalmente quando se trata de assunto que provoca
alteraes na cultura organizacional, tira as pessoas do seu centro de conforto e altera suas atividades do
dia-a-dia, muito forte e o poder do fogo amigo - grande suficiente para que as aes no passem de
pontuais e localizadas, e assim sendo, no sero incorporadas pela organizao e as pessoas continuaro
sendo o elo mais fraco da segurana. Infelizmente sabemos muito bem como funciona o sabe com
quem est falando?. Sabemos que no estamos num mundo perfeito, portanto no vamos agir como se
assim fosse.

Muitas empresas tm a iluso de que segurana tecnolgica segurana da informao. Na

realidade apenas parte, apenas ferramenta de suporte e aplicao da Poltica Corporativa de Segurana
da Informao, esta que deve fazer parte de algo maior, que a Gesto de Riscos Operacionais, que,
juntamente com seus pares Gesto de Riscos Financeiros e Gesto de Riscos de Mercado fazem parte da
Gesto de Riscos Corporativos. O pior desta iluso que esta falsa segurana acaba por tornar mopes os
que deveriam cuidar de to estratgico ativo, que alm de se vangloriarem de ter segurana da
informao agem como se realmente a tivessem. A falsa sensao de segurana mais prejudicial do
que a certeza da insegurana, pois elimina a possibilidade de defesa, tolhe o poder da desconfiana e d
fora at s fraquezas que poderiam ser eliminadas com pouco esforo.
imperativo, tambm, que haja coerncia entre a implementao da segurana da informao e a
cultura organizacional, o planejamento estratgico, o nvel de maturidade cultural e de dependncia em

TI e os riscos inerentes ao ambiente e ao negcio, o que no possvel existir seno no nvel estratgico
da organizao.
Para que um plano de segurana estratgica da informao alcance o resultado esperado deve seguir
as seguintes premissas:
Personalizado elaborada sob medida para a empresa;
No existe plano de segurana estratgica da informao em prateleiras de lojas ou empresas de
consultorias. Desconfie e duvide de quem oferecer tal soluo milagrosa. Como diria o Presidente
Lula, no tem soluo milagrosa. As coisas devem ser feita da maneira correta, no tempo certo e
com os custos financeiros e de esforos necessrios a cada organizao. algo que para funcionar
deve ser feito sob-medida, seguindo padres e normas internacionais e consagradas, aplicando as
melhores prticas conhecidas no mercado, seguindo as regulamentaes setoriais, os requisitos
especficos de cada tipo de negcio e seguindo as leis aplicveis a cada assunto abordado no plano.

Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informaes
sobre o plano, em sua maioria, tero que ser geradas internamente, a no ser aquelas comuns ao
mercado, como leis e regulamentaes.
Justificvel orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa est sujeita,
mantendo-os em nveis aceitveis; e
Permanente aplicvel, de maneira contnua, contra as ameaas reais s quais os processos e
ativos da empresa esto expostos.

No existe segurana 100% e nem risco zero.

importante sabermos que no h segurana 100% e que o aumento do nvel da segurana no

linear ao investimento aplicado. Chamo isso de efeito escalada, pois quanto mais alto o nvel de
segurana, menos o avano proporcional ao investimento.
Investimento

Segurana
O investimento e avano em segurana reagem de maneira semelhante s curvas geradas por PG
(progresso geomtrica) e PA (progresso aritmtica), respectivamente, como se fosse necessrio
aumento geomtrico dos investimentos financeiros e esforos para se conseguir um aumento aritmtico
no nvel de segurana. Ao atingirmos o nvel desejado de segurana a curva de investimento tem seu
ponto de inflexo e a de segurana passa a ser estvel por um perodo e passar a decair. importante
notar que o investimento em segurana diminuir a partir deste ponto, mas jamais poder ser eliminado
por completo, pois o custo de manuteno dever ser mantido para que o nvel de segurana alcanado
seja mantido e que o processo de gesto (PDCA) seja preservado.

Investimento = 1, 2, 4, 8, 16, 32, 64 .....(PG)

Segurana

= 1, 3, 5, 7, 9, 11, 13....... (PA)

70
60
50
40
30
20
10
0
1

Investimento
Segurana

Relao Investimento x Segurana

O efeito escalada no incide somente sobre o aspecto financeiro, mas tambm sobre o gerencial e o
funcional.
A administrao de ambientes seguros requer mais controles e cuidados, sob pena de se perder o
esforo feito para chegar ao patamar alcanado e ficar desatualizado no que diz respeito aos controles
necessrios para garantir a segurana no nvel atual. Isso gera revises e atualizaes constantes, mas em
contrapartida reduz o tempo gasto com paradas indesejadas. Cabe a cada empresa descobrir o ponto de
equilbrio para que o benefcio seja satisfatrio e o investimento aceitvel.

10

O nvel de segurana inversamente proporcional ao nvel de conforto na utilizao, para os

usurios, e facilidade de gerenciamento, para os administradores.

Os usurios finais tambm podem sentir os efeitos deste maior controle, principalmente aqueles que
se acostumaram em ambientes muito flexveis, para no dizer relaxados, pois no mais tero liberdade
para fazer o que quiserem, mas apenas o que precisarem e sob controle e monitorao constante. Estes
controles podem, se no bem implementados e adequados ao ambiente, causar alguns inconvenientes, os
quais devem ser minimizados no decorrer do processo evolutivo da segurana, e tambm conforme os
usurios vo se habituando a trabalhar em ambientes mais seguros, e portanto, controlados.

A conscientizao e educao constante dos usurios so grandes aliados dos gestores de segurana,
pois transforma os usurios em colaboradores. Isso acontece naturalmente quando estes entendem o real
objetivo da segurana.

O investimento em segurana deve ser proporcional ao valor do bem que se pretende proteger.

Visto que proteger as informaes requer investimento e esforo, devemos atentar para o fato de que
nem todas as informaes tm o mesmo valor, e que o valor destas variam de acordo com seu ciclo de
vida. essencial que se faa a classificao das informaes, e sua reclassificao, sempre que
necessrio, para que no se invista mais que o necessrio para garantir a segurana das mesmas.
Ningum compraria um cofre de R$ 10.000,00 para guardar uma jia de R$ 3.000,00. Seria um
desperdcio de recurso. E um carro que hoje custa R$ 50.000,00 ter seu valor depreciado no ano

11

seguinte, no sendo, portanto, aceitvel que se invista o mesmo valor em seu seguro por dois anos
consecutivos, pressupondo-se que no houve alterao considervel no fator risco.

Objetivos da Segurana da Informao

A segurana da informao tem dois objetivos principais: o primeiro preservar (Confidencialidade,
Integridade e Disponibilidade) os dados e informaes da organizao, de seus clientes, funcionrios e
parceiros. O segundo garantir a continuidade operacional do negcio em caso de incidente,
minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente.

Segurana da Informao = Preservao + Continuidade.

Nenhum empresrio ir investir em segurana da informao se no tiver claro, e se no estiver

consciente de quais sero os benefcios e retorno deste investimento para a organizao.
Esta uma das rduas tarefas do responsvel pela segurana da informao: conscientizar e
convencer os executivos da necessidade de investir em segurana.
Alguns negcios dependem diretamente da segurana e em outros a regulamentao da atividade ou
Leis e Decretos exigem investimento em segurana e o Information Security Officer, como chamado
o responsvel pela segurana da informao, no precisar despender muito esforo para conseguir
investimento.
Os bancos, por exemplo, esto muito frente de muitos outros tipos de negcio, pois dependem da
segurana para sobreviver. J as indstrias ainda esto caminhando a passos lentos para a maturidade,
mas j tendo algumas reas mais avanadas, como as de pesquisa e desenvolvimento.

12

Na maioria das organizaes o Information Security Officer precisar se esforar para mostrar as
vantagens que o investimento em aes estruturadas em segurana traro como retorno. Uma das
melhores maneiras de demonstrar que o investimento trar retorno, e sua real necessidade, a realizao
estudos de Anlise de Riscos e Avaliao de Impactos, estudos estes que iro aclarar o quo a
organizao est vulnervel, quais so os riscos aos quais est exposta e qual ser o impacto em caso de
incidente.

Uma estratgica que pode auxiliar no convencimento demonstrar o quanto a empresa poder perder
caso no invista em segurana, uma vez que difcil demonstrar o retorno do investimento. Podemos
chamar isso de Perda por No Investimento (PpNI). Exemplo: Seguir uma regulamentao setorial pode
no trazer retorno empresa, mas no seguir pode trazer prejuzo.

Alguns objetivos da segurana da informao:

Agregar valor ao negcio; diferencial competitivo; continuidade operacional; gerenciamento dos
riscos; proteo de investimentos; conformidade com determinaes legais e setoriais; etc.

Alguns motivadores da segurana da informao:

Dependncia crescente da informao; a informao um dos ativos mais importantes das
organizaes; responsabilidade administrativa, legal e social acionistas, clientes, funcionrios,
governo, sociedade; proteo da propriedade intelectual patentes, marcas, direitos autorais,
segredos de negcio, segredo de fbrica; etc.

13

Para que seja possvel alcanar os objetivos da segurana da informao necessrio que se siga alguns
passos, a saber:

- Realizao de Anlise de Risco;

- Realizao de Avaliao de Impactos nos Negcios;
- Elaborao de uma Poltica de Segurana que reflita os objetivos do negcio;
- Realizao de campanhas de conscientizao e treinamento dos funcionrios;
- Elaborao de um Plano de Continuidade do Negcio.
- Revisar tudo periodicamente

Segurana da Informao um processo, no um projeto.

Para completar, segurana da informao no projeto, e sim um processo, e como tal deve ser
contnuo, cclico, monitorado, revisado e evoludo permanentemente, sob pena de se tornar obsoleto e de
perder seu valor para o negcio.

II. Pilares da Segurana da Informao

A segurana da informao composta por pilares bsicos, e todo o resto gira em torno disto:
Confidencialidade; Integridade; e Disponibilidade.

Este trip da segurana da informao pela conhecido pela sigla CID.

14

Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles:
Autenticao; Autorizao; Auditoria; Autenticidade; No Repdio e Legalidade.

Conceitos

Confidencialidade
Garantia de que o acesso s informaes seja obtido somente por entidades autorizadas.
A confidencialidade pode ser classificada em nveis de acordo com as necessidades da empresa,
podendo ser:
Confidencial Pode ser manipulada por um nmero reduzido de pessoas ou um setor da empresa,
como por exemplo P&D;
Restrita Informao restrita pode ser manipulada por contingente maior de pessoas ou um nvel
hierrquico, como por exemplo o plano estratgico da empresa que pode ser visto at no nvel
hierrquico de diretoria;
Interna Este tipo de informao deve ser limitado da empresa, como as listas de ramais,
memorandos internos, norma internas, manuais, etc.;
Pblica Estas informaes podem tambm ser divulgadas ao pblico ou publicadas em revistas,
sites, etc. Informaes pblicas podem tambm ser conhecidas como no classificadas, pois
entende-se que se no foi classificada porque pblica. Isso pode trazer srios problemas para a
empresa, pois uma falha de classificao pode expor informaes confidenciais ao pblico. O mais
seguro seria adotar que tudo o que no classificado interna.

15

Integridade
Garantia de que as informaes sero protegidas contra alteraes no autorizadas e mantidas a
exatido e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada.
Um dado, ou informao, armazenado deve permanecer integra para quando for recuperado. Para
que isso seja verdadeiro no poder sofrer interferncia alguma que o modifique, seja por falhas
intencionais ou no. Os mtodos de processamento, normalmente sistemas, devem tambm ter a
integridade preservada, pois uma alterao num sistema pode comprometer as informaes resultantes
do processamento.
Este conceito no garante que os dados estejam corretos, pois se forem armazenados errados, assim
permanecero at que uma entidade autorizada os corrija.

Disponibilidade
Garantia de que as informaes estaro disponveis onde e quando as entidades autorizadas
necessitarem, com total segurana.
A informao no tem valor para a empresa caso no esteja disponvel quando for requisitada.
Muitos ataques tentam derrubar este pilar da segurana por meio da negao de servio com ataques do
tipo DoS ou DDoS, interrompendo o acesso aos servios e informaes das empresas. Para que este
problema seja apresentado no necessrio ataque sofisticado, bastando para isso apenas que uma linha
de comunicao seja interrompida ou que um servidor seja fisicamente comprometido, intencionalmente
ou no. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso no haja
contramedidas para este problema.

A manuteno deste pilares da segurana da informao s ser atingida se houver a integrao entre
segurana fsica e do ambiente, tecnolgica e em pessoas como j foi apresentado.

16

Aspectos

Autenticao
Processo de autenticar uma entidade como sendo aquela que se apresenta.
Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de
identificao para que possa manipular as informaes. Este aspecto de suma importncia para a
manuteno da segurana da informao, pois se no for possvel autenticar a entidade toda a cadeia de
segurana estar comprometida, seja por permitir acesso entidade falsa ou negar acesso entidade
legtima. Pode-se dizer que a negao de servio melhor que a autorizao indevida, mas isso deve ser
muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.

Autorizao
Processo de concesso de direitos para que uma entidade autenticada acesse as informaes
somente com as permisses a ela atribuda. (ler, gravar, modificar, apagar, executar, visualizar).
Esse aspecto totalmente dependente da autenticao, pois se for autenticada uma entidade falsa
como verdadeira, esta receber todas as permisses atribudas verdadeira como se ela fosse.
No processo de autorizao deve-se sempre que possvel utilizar o preceito de mnimo privilegio,
preceito este que diz que uma entidade deve ter o mnimo privilgio de acesso s informaes dentro de
sistemas quanto for necessrio para o cumprimento de suas funes.
Outro preceito a necessidade de saber need to know. Questiona-se se realmente necessrio
que a entidade tenha acesso a determinadas informaes ou sistemas para cumprir suas funes, em caso
negativo o acesso deve ser negado.

17

Auditoria
Processo de registrar as aes realizadas pelas entidades durante a interao com as informaes e
sistemas.
Para que a segurana da informao seja efetiva necessrio que se possa determinar com preciso
quem, quando e o que foi feito nos sistemas de informaes e repositrios de dados. Sem isso no ser
possvel responsabilizar violao de normas e quebras de segurana. Este registro de trilhas de auditoria
deve se dar em todos os ambientes da empresa, tanto fsicos quanto lgicos.
Em sistemas de informao isso feito por meio de coleta de logs, arquivos que registram todos os
eventos configurados para serem registrados e com a riqueza de detalhes que for necessrio empresa.
Em segurana fsica, um simples relatrio manual de acesso a determinadas dependncias da empresa
tambm pode ser considerado trilha de auditoria, assim como cmeras de vigilncia e outros dispositivos
de monitorao.

Estes trs aspectos compem a sigla AAA, de Autenticao, Autorizao e Auditoria

Esta sigla utilizada por tcnicos de informtica voltados para segurana de sistemas e redes, mas pode
ser aplicada a qualquer sistema de segurana da informao.

Autenticidade

18

Processo que certifica a legitimidade das informaes, quer seja de credenciais de acesso que
autenticam as entidades ou que as informaes por estas entidades transmitidas so autnticas, assim
como a entidade remetente ou destinatria como legtima.
Os certificados digitais, que inclusive j tem valor jurdico e prov a irrevogabilidade, vm sendo
utilizados principalmente em assinatura de documentos, cifrao em trocas de mensagens e autenticao
de entidades.
A biometria vem ganhando espao principalmente para controle de acesso e autenticao de
usurios.

No Repdio
Caracterstica das informaes que garante o no repdio, seja referente autenticidade de
documentos ou transaes financeiras e comerciais.
Mais uma vez o certificado digital (assinatura eletrnica), juntamente com as certificadoras de tempo,
esto se apresentando como as tecnologias mais adequadas esta tarefa, muitas vezes j com garantia
jurdica nos processo.

Legalidade
Caracterstica das informaes estarem em conformidade legal, assim como os processos que as
manipulam e prov validade jurdica.
Este aspecto rege que as informaes devem ser mantidas dentro das determinaes legais. Um
exemplo disso so as assinaturas digitais de documentos, que s tero efeito legal se forem feitas com
certificados digitais fornecidos por Entidades Certificadoras ACs - integrantes do ICP Brasil ou por

19

entidades reconhecidas previamente por todos os participantes do processo de validao do documento.

Isso vale tambm para transaes comerciais e financeiras.
Para que sejam realizadas transaes entre o Sistema Financeiro ou rgos Governamentais
obrigatrio que as ACs sejam integrantes do ICP Brasil.

III.

Diviso da Segurana da Informao

Para que a segurana da informao seja efetiva e completa, podemos dividi-la em trs partes:

Segurana Fsica e do Ambiente;

Segurana Tecnolgica;
Segurana em Pessoas.

FSICA
AMBIENTE

TECNOLGICA

PESSOAS

Diviso da Segurana da Informao

20

Segurana da Informao a aplicao conjunta da segurana fsica e do ambiente, da segurana

tecnolgica e da segurana em pessoas, com foco na gesto dos riscos inerentes aos negcios, tanto
diretos quanto indiretos.

A falsa certeza da segurana mais prejudicial que a certeza da insegurana.

Com a no implementao de apenas uma dessas partes da segurana da informao, o mximo que
se conseguir criar uma falsa sensao de segurana, que muito pior do que ter a certeza da
insegurana, pois se acreditamos, falsamente, que estamos seguros, acabamos por no tomar as medidas
necessrias para preveno, deteco, correo e reduo de impacto, mas sabendo que estamos
vulnerveis s ignoramos a necessidade de tais medidas de maneira consciente, e portanto imprudente e
inconseqente.

Segurana Fsica e do Ambiente

A Segurana Fsica e do Ambiente composta por (mas no somente por):

Segurana pessoal
Medidas a serem tomadas para garantir a segurana dos funcionrios, prestadores de servios e
pessoas chave da organizao;

Segurana patrimonial
Controles a serem implementados para garantir a segurana do patrimnio da organizao,
principalmente daqueles necessrios continuidade operacional;

21

Segurana das edificaes

Cada tipo de atividade requer edificaes apropriadas para tal, com nveis de segurana estrutural
e monitorao apropriada ao negcio ou atividade realizada na edificao. Processos de manuteno,
brigadas de incndio, controle ambiental e controle de pestes podem ser considerados escopos da
segurana das edificaes;

Segurana de infra-estruturas
Infra-estrutura de cabeamento lgico (backbone de rede), eltrica, de gua, de condicionamento
de ar, de exausto, de controle do ar, de deteco e combate a fogo, dentre outros, devem ser
protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta ltima um
pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da
organizao, mas nem por isso deve ser ignorada;

Classificao de permetros de segurana

reas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, serem
classificadas de acordo com suas caractersticas, podendo ser: restrito, controlado e pblico, ou outra
classificao que atenda as necessidades de segurana;

Controles de acessos
O acesso s instalaes da organizao deve ser controlado e monitorado para que a segurana
seja efetiva.

22

Quando falamos em segurana fsica e de ambiente, boa parte das aes sero tomadas para
limitar o acesso s dependncias a serem protegidas. Sem o devido controle de acesso, seja este
administrativo e simples ou tecnolgico e complexo, a segurana ser falha.

Eventos naturais
A natureza bela e perfeita, no podemos contestar isso, mas em muitas situaes acaba por
colocar em risco a segurana das organizaes. Raios, enchentes, chuvas de granizo, temporais,
ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da
organizao caso esta no mesure os riscos e implemente as medidas necessrias de segurana.

Eventos sociais
Muitos eventos sociais podem acabar por afetar a segurana das empresas, em diversos nveis e
situaes. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilizao social nas
imediaes da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, em
So Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida palco de diversas
manifestaes, festivas ou no.
Em muitos casos pode ocorrer de tais manifestaes fugirem ao controle e passar para aes em
massa de quebra-quebra, baderna e violncia. Empresas podem ter suas dependncias invadidas,
depredadas e saqueadas, estes riscos devem ser levados em considerao no processo de gesto de riscos
e segurana das informaes.
Mesmo aes individuais, seja por imprudncia ou sabotagem, podem levar a empresa a
situaes como as acima apresentadas.

23

Segurana Lgica e Sistmica

A segurana lgica e sistmica deve prever aes de funcionrios, hackers e crackers, parceiros,
clientes, fornecedores e quaisquer outros que interagem com a organizao, prevendo e tratando os
riscos de: espionagem, sabotagem, erros, facilitao, roubo, furto e desvio de dados e informaes, etc.

Permetro lgico de segurana

A composio lgica das redes da organizao pode ser composta por vrias redes, redes estas
que requerem nveis diferentes de segurana. No se pode, por exemplo, dar a mesma ateno para a
rede onde esto alocados os servidores de produo e a rede onde esto os servidores pblicos, como
os que hospedam os sistemas e Sites na Internet. O firewall a ferramenta mais utilizada para
segmentao de permetros lgicos de segurana, por sua capacidade de proteo e pela facilidade de
customizao, uma vez que a proteo baseada principalmente em regras de permisso e / ou
negao de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de
protocolo ou servio.
Muitos roteadores tm a capacidade de auxiliar na segurana de permetro por meio de
implementao de listas de acessos que, ainda que de maneira limitada, conseguem determinar
regras de acesso (endereo IP e protocolos) s redes por trs deles.

Redes
As redes da organizao devem ser providas de mecanismos de monitorao, deteco e proteo
contra cdigos maliciosos, assim como contra ataques e intruses. A ferramenta mais aplicvel para

24

esta tarefa o IDS (NIDS - Network Intruder Detection System). Para monitorao podem ser
utilizadas ferramentas Sniffer, que capturam trfego da rede para estudo e monitorao.

Segurana de sistemas e Hosts

Dentro da segurana lgica e sistmica, a segurana de sistemas e aplicativos tem um papel
fundamental, pois so estes que iro manipular os dados da organizao. A segurana deve ser
prevista e implementada desde a concepo e projeto dos sistemas e aplicativos, pois quase
impossvel e invivel economicamente a implementao posterior. O que se faz quando o sistema
no seguro implementar uma camada externa de segurana, normalmente com softwares
especialistas de terceiros, como Host IDS, antivrus, sistemas de controle de acesso, etc.
Ainda dentro da segurana de sistemas, h que se ter cuidado especial no processo de
desenvolvimento, implementando a segregao de ambientes e funes, assim como controle
eficiente de homologaes, verses e atualizaes dos sistemas de produo.

Controle de acesso
O controle de acessos aos sistemas e dados uma parte de extrema importncia da segurana. O
controle de acesso deve prever as seguintes funcionalidades: Autenticao, Autorizao e Auditoria.
Os bancos de dados no passam, simplificadamente falando, de repositrios de dados. O controle
de acessos a estes dados deve ser previsto desde a concepo e estruturao do banco de dados,
podendo, e devendo, ser feito de maneira integrada aos sistemas que faro a interao entre os
usurios e o banco de dados.

25

Segurana em Pessoas
A segurana em pessoas normalmente relegada a segundo plano, mas acredito ser a mais
importante das trs, por serem as pessoas o elo mais fraco da corrente.

A resistncia da corrente equivalente a resistncia de seu elo mais fraco.

nas pessoas que a segurana comea e nelas que termina. Equipamentos tecnolgicos podem ser
desligados, trocados e ligados novamente, tudo muito previsvel. Com pessoas a situao diferente,
no podemos prever as atitudes das pessoas em situaes adversas. No devemos falar de desconfiana,
mas de precauo.
Dentro da Segurana em Pessoas, devemos trabalhar com as seguintes questes, dentre outras que sejam
necessrias organizao:

Engenharia social
Um dos grandes viles da segurana da informao a engenharia social, tcnica que utilizada
em larga escala por engenheiros sociais, hackers e crackers, espies, curiosos, estelionatrios, dentre
outros. A maioria das espionagens industriais e comerciais se d por engenharia social, e quando esta
no a principal tcnica empregada pelos espies, utilizada no mnimo como auxiliar para outras
tcnicas.

Acompanhamento de pessoal

26

As organizaes so compostas fundamentalmente por pessoas, s quais esto sujeitas a

alteraes de comportamento de acordo com diversos fatores, tais como humor, problemas
familiares, financeiros, com drogas, com doenas, chantagem, dentre outras tantas.

Conscientizao
A conscientizao do pessoal pea chave na implementao da segurana da informao. As
pessoas devem estar cientes e conscientes da necessidade da segurana das informaes, bem como
do valor dessas informaes, assim como o risco e o impacto que a violao da segurana poder
causar organizao e conseqentemente para as pessoas que nela trabalham. Se as pessoas no
entenderem e aceitarem os argumentos apresentados pela organizao a segurana poder no ser
efetiva.

Educao
muito comum as empresas desenvolverem Poltica de Segurana, implementarem uma grande
parafernlia tecnolgica voltada para a segurana, e tomarem muitas das medidas necessrias
segurana da informao sem dar a devida ateno e o devido investimento educao de seus
funcionrios. As pessoas esto acostumadas a acreditar em seus interlocutores, a ajudar aos que
solicitam, a abrir arquivos que recebem, a seguir orientaes recebidas por e-mail ou telefone, a
confiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo so confiveis, a
ter boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podem
abrir uma enorme lacuna de segurana se alguns cuidados no forem tomados para certificar que as
informaes apresentadas so realmente verdadeiras e confiveis.

27

A engenharia social nada mais do que uma tcnica para explorar algumas caractersticas
humanas como ego, vaidade, ambio, confiana, medo, bondade, reciprocidade, corporativismo,
coleguismo, dentre outras. Se as pessoas no forem educadas em como agir nas situaes que podem
causar incidentes de segurana e colocar as informaes em risco, com certeza a segurana ser
violada e a organizao ser prejudicada.

Poltica de segurana
um conjunto de normas que traduz as necessidades da organizao quanto segurana da
informao, objetivando a normalizao das aes necessrias para levar a organizao a um nvel
de risco aceitvel e confortvel. A poltica de segurana deve ser desenvolvida sob medida para a
organizao qual ser aplicada, devendo contemplar a estratgia de negcios e as expectativas de
segurana da direo. Deve, ainda, ser clara e objetiva, factvel e aplicvel, mensurvel, relevante e
temporal.
A Poltica de Segurana da Informao de uma organizao dever ser aprovada pela alta direo
e publicada de maneira que todos os funcionrios e parceiros tomem conhecimento da parte que lhes
cabe seguir.

Gerncia de mudana
A implementao da segurana da informao comumente provoca inmeras e profundas
mudanas nas organizaes, sejam mudanas de comportamento ou em processos. Estas mudanas
devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e
interdepartamental e com liderana e autoridade suficiente para contornar problemas que surgiro
em decorrncia dessas mudanas. natural que haja resistncia por parte do pessoal, quer seja por

28

perda de direitos nos sistemas, maior monitorao e controle, falta de entendimento dos objetivos da
maior segurana, etc., mas tal resistncia deve ser contornada com medidas de conscientizao e em
ltimo caso com medidas de reforo - prmios e ou punies.

Quebra de paradigma social

Um dos paradigmas a serem quebrados o da posse. comum ouvirmos e dizermos: meu micro,
minha sala, meu e-mail, quando falamos das coisas pertencentes organizao. Este comportamento
far com que as pessoas apresentem resistncia s mudanas que acabaro por aumentar o controle e
a monitorao, e ningum gosta de ter suas coisas monitoradas por terceiros.
Deve-se reforar, durante a conscientizao e educao, que os bens, ferramentas e informaes
pertencem organizao, que tm real valor para esta e por isso necessitam de monitorao e
controle, o que acabar por proteger, por conseqncia, tambm os interesses dos funcionrios.

29

Controle e monitorao
As normas de segurana descritas na poltica de segurana devem ser seguidas por toda a
organizao, e para que se mea a aderncia e obedincia s normas necessrio que haja
monitorao das aes previstas.
A monitorao no dever ser utilizada como fonte de ameaas e punies, mas sim para
correes e ajustes das normas, dos comportamentos e das tecnologias aplicadas.
necessrio, ainda, que se deixe claro que o controle e a monitorao so para proteger as
informaes e os recursos da organizao e no para bisbilhotar as aes dos funcionrios,
deixando claro que a privacidade ser preservada, desde que no coloque a segurana em risco, e tais
aes se daro por meio de processos transparentes estabelecidos pela organizao.

Reforo negativo ou positivo

Assim como em cada lei existe a punio reforo negativo - aplicvel em caso de
descumprimento, na poltica de segurana dever constar as punies aplicveis caso sejam
descumpridas ou burladas. Se no for assim, corre-se o risco da poltica de segurana cair em desuso
e a rea de segurana em descrdito, o que far com que os esforos e investimentos efetuados sejam
perdidos e a segurana no seja mantida.
A organizao pode, para aumentar a aderncia s normas, promover reforo positivo
premiao - para os que se destacarem no cumprimento e aderncia s normas e observncia da
segurana da informao. Esta estratgia deve ser muito bem implementada para que no desvirtue a
real motivao das aes de segurana. O objetivo principal proteger as informaes, e isso no
pode ser esquecido.

30

O incidente de segurana mais freqente a que tem o ser humano - o elo mais fraco da corrente como principal ator, podendo ser intencional ou no.

Causas

de

incidentes

no

intencionais:

falta

de

treinamento,

desateno,

falta

de

comprometimento, impercia ou imprudncia, negligncia, dentre outros.

Causas de incidentes intencionais: sabotagens, facilitaes, espionagens, ataques hackers,

engenharia social, etc.
Temos ainda os incidentes com causas no humanas, que podem ser tecnolgicas e naturais: falhas
de sistemas, falhas de hardware, falhas de infra-estrutura, tempestades, alagamentos, raios etc.

A implementao de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra,
com alguns exemplos, como se d a segurana nas vrias camadas de profundidade e como cada camada
dependente da anterior.

Dados

Permisses de acesso, encriptao, auditoria

Aplicativos

Antivrus, anti-spyware, desenvolvimento

Servidores

Autenticao, correes de S.O / aplicativos, HIDS

Rede Interna

Firewalls, VLAN, NIDS, VPN, HIDS

Permetros

Firewalls, VLAN, DMZ, NIDS, VPN, HIDS

Segurana
Fsica

Segurana patrimonial, vigilncia, edificaes

Poltica de Segurana

Normas, procedimentos, monitorao,

conscientizao, educao e treinamento

31

Ciclo de vida da informao

A informao deve ser protegida durante todo seu ciclo de vida. Neste ciclo de vida os requisitos de
segurana podem variar, e normalmente variam, devendo, portanto, ser investido esforo adequado
proteo que se fizer necessrio em cada fase da vida da informao.
Como exemplo podemos citar informaes de um determinado produto, que durante sua fase de
desenvolvimento tais informaes devem ser tratadas como confidenciais, devido sua natureza e dos
investimentos que esto sendo feitos para o desenvolvimento do produto. Aps o trmino do
desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das
informaes do produto passam a ser pblicas.
Neste caso, no faria mais sentido continuar a tratar todas as informaes do produto como
confidencial, podendo reduzir o investimento a partir da reclassificao dos mesmos, mantendo como
confidencial apenas aquelas que forem realmente necessrias.

Fases do Ciclo
Manipulao
Refere-se a todo ato de manuseio da informao durante os processos de criao, alterao e
processamento.

32

Nesta fase do ciclo de vida da informao onde h maior interao entre esta e as entidades, e,
conseqentemente, onde ocorre a maioria das falhas de segurana.

Armazenamento
Refere-se ao armazenamento e arquivamento da informao em meios digitais, magnticos ou
qualquer outro que a suporte.
Durante a fase do armazenamento, em que meio seja, a informao deve estar salvaguardada dos
riscos a que est sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de
acordo com a necessidade de cada tipo de informao.
Nesta fase a segurana fsica muito importante, no que as outras no o sejam, pois estaro sujeitas
aos riscos ambientais, naturais ou no, mais do que os da fase de manuseio.
Aqui deve-se dividir armazenamento de arquivamento, sendo entendido como armazenada a
informao que est disposio das entidades que a utiliza, que est em rea de produo, quando
muito em backup de segurana. O arquivamento deve ser entendido como o processo de guarda das
informaes que no esto mais em produo, ou seja, no ficam disponveis para as entidades
utilizarem nos processos de negcio. Estas so as informaes contbeis, fiscais e tributrias e arquivos
mortos, dentre outros que na maioria das vezes so arquivadas para que sejam colocadas disposio
dos rgos pblicos, caso sejam solicitadas, ou para consultas futuras.

Transporte
Refere-se a todos os atos de movimentao e transferncia da informao, seja entre processos,
mdias ou entidades internas ou externas.

33

O transporte requer ateno especial, pois, normalmente, quando as informaes esto em transporte,
esto fora do permetro de segurana do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,
pastas, notebooks e PDAs, comunicao telefnica e transmisses eletrnicas via rede, principalmente
redes pblicas como a Internet.
Tomemos todos os tipos de comunicao como fazendo parte do ambiente de transporte, inclusive, e
muito importante, o dilogo falado, pois ao falar, transporta-se a informao pelo ambiente (ar), do
locutor ao interlocutor, e pode-se deixar vazar informaes valiosas neste momento.

Descarte
Refere-se s aes de descarte e destruio das informaes no meio em que se encontram.
Muitas pessoas, na realidade a maioria, acham que a informao que vai ser descartada no tem
valor. Ledo engano, e engano que pode custar muito caro para as organizaes que no atentam para
este pormenor.
Em geral, ao jogarmos um documento em papel, uma cpia ou rascunho no lixo no estamos
descartando a informao, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso o
papel.
Com a modernizao e automao dos escritrios esta questo ficou ainda mais preocupante, pois
basta que se tire uma cpia ou impresso de m qualidade para que a mesma seja lanada na lixeira, sem
critrios e sem que se observe os cuidados necessrios segurana das informaes ali contidas. O papel
carbono outro vilo, apesar de ser cada vez menos utilizado.

34

O mesmo cuidado se deve ter com qualquer meio que suporte a informao: papel, discos
magnticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um
cuidado especial no descarte, para que as informaes estejam protegidas.
Os cuidados com descarte devem ser considerados, tambm, ao se vender computadores, discos,
papis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no
lixo.
Esta prtica muito perigosa, principalmente no descarte de produtos magnticos, pois no basta
apagar o arquivo do disquete ou disco rgido para que a informao seja perdida. Se a eliminao da
informao no for feita com tcnica apropriada ao meio, a informao poder ser reconstruda a partir
de resduos das mesmas que permanecem nos meios magnticos. o mesmo que apagar uma escrita
lpis de um papel, com um pouco de esforo ou com alguma tcnica, podemos descobrir o que ali estava
escrito.

IV. Gesto da Segurana da Informao

SGSI Sistema de Gesto da Segurana da Informao
Um SGSI um sistema de gerenciamento utilizado para estabelecer a poltica e os objetivos da
segurana da informao baseado em uma abordagem de anlise de risco do negcio, com o intuito de
definir, implementar, operar, monitorar, manter e melhorar a segurana da informao.

O SGSI deve abranger: Infra-estrutura organizacional da poltica de segurana; segurana

organizacional; classificao e controle dos ativos de informao; segurana pessoal; segurana fsica e

35

do ambiente; gerenciamento das operaes e comunicaes; controle de acesso; desenvolvimento e

manuteno de sistemas; gesto da continuidade dos negcios; aspectos legais e de conformidade.

A gesto da segurana da informao deve ser feita com viso estratgica para que esteja alinhada
aos planos estratgicos de negcios e que sirva de apoio para estes.

Information Security Officer (Gestor de Segurana da Informao)

O Information Security Officer dever ser um profissional especializado em segurana da
informao. Dependendo da rea de formao deste profissional ele poder tender a ser um Security
Officer Tecnolgico, mais voltado para a aplicao de tecnologias, ou Security Officer Estratgico,
mais voltado s normatizaes e gerenciamento dos riscos. Seja qual for a tendncia do profissional,
imperativo que as duas funes sejam cobertas, tanto a tecnolgica quanto a estratgica, buscando
sempre a melhor dosagem de esforos para uma e outra.
Este profissional dever, de preferncia, se reportar ao Conselho de Segurana, ao Comit
Executivo ou diretamente ao Presidente da empresa. Em muitas empresas ele j aparece com status de
diretoria para que possa apoiar e interagir com a alta direo da empresa e para que esteja a par das
estratgias de negcios, s quais a segurana da informao dever estar alinhada e suportando.
O posicionamento do Security Officer determinante para que no haja conflito de interesses que
possam prejudicar as determinaes e aes ou retardar a implementao das medidas necessrias
segurana das informaes.

Atribuies do Information Security Officer

Dentre as atribuies do Security Officer esto:

36

- Elaborar e aplicar o SGSI;

- Elaborar e aplicar a Poltica de Segurana;
- Promover a manuteno da segurana da informao;
- Promover a disseminao da cultura da segurana da informao;
- Realizar, ou acompanhar, anlises de riscos e avaliaes de impactos;
- Definir as medidas de segurana a serem implementadas;
- Gerenciar as medidas de segurana implementadas
- Analisar os incidentes de segurana e manter a Diretoria informada sobre a ocorrncia de
incidentes ou ameaas de segurana;
- Apresentar e justificar o plano de investimentos em segurana;

Conselho de Segurana
O Conselho de Segurana, caso seja constitudo, dever ser composto por um representante de cada
processo de negcio ou prea da empresa e ainda por:
Tecnologia da Informao; Recursos Humanos; Jurdico; representantes da Diretoria ou Conselho
Executivo.

Atribuies do Conselho de Segurana

- Apoiar e participar da elaborao do SGSI;
- Participar da elaborao e homologar a Poltica de Segurana;
- Apoiar a manuteno da segurana da informao;
- Apoiar a disseminao da cultura da segurana da informao;

37

- Homologar as medidas de segurana a serem implementadas;

- Apoiar a elaborao do Plano de Continuidade dos Negcios;
- Homologar o Plano de Continuidade dos Negcios;
- Participar e aprovas anlises de riscos e avaliaes de impactos;
- Garantir os recursos necessrios manuteno da segurana da informao.

Plano Diretor de Segurana da Informao - PDSI

O PDSI dever direcionar as aes de segurana da informao e mant-las alinhadas ao
planejamento estratgico da empresa. Este plano dever descrever:
- Misso e viso da rea de segurana;
- Estrutura departamental e relacionamento interdepartamental e com entidades externas;
- Definio de estratgias para segurana da informao;
- Planejamento de aplicao da Poltica;
- Planejamento de implementaes tcnicas;
- Planejamento financeiro;
- Planejamento de treinamentos;
- Fatores crticos de sucesso e proviso de recursos;
- Modelo de atuao e gesto da segurana da informao SGSI;
- Definio de responsabilidades;
- Aderncia NBR ISSO/IEC 17799 ou outras normas de segurana adotadas pela empresa;
- Estudo de impacto e adequao aos dispositivos e decretos legais e resolues ou regulamentaes
setoriais como SUSEP, Basilia, diretrizes da CVM ou Banco Central, dentre outras;

38

- Gerenciamento da segurana da informao com apurao de resultados.

V. Poltica de Segurana da Informao

A Poltica de Segurana da Informao um documento que deve ser aprovado pela alta
administrao da Empresa, demonstrando comprometimento e apoio s determinaes. Este documento,
ou conjunto de documentos, deve ser publicado respeitando a necessidade de saber de cada rea ou
pessoa, e comunicado de forma adequada para todos aqueles que devem obedec-la, sejam estes
funcionrios, parceiros, fornecedores ou terceiros.
A Poltica de Segurana da Informao, em todos os seus nveis, deve ser elaborada, publicada e
comunicada de forma e em linguagem que seja apropriada a cada pblico, sejam genricas ou
especficas, de maneira a atingir o objetivo da segurana. A aderncia s normas depende muito do
entendimento das mesmas, bem como do grau de conscientizao sobre o assunto.
Este conjunto de documentos deve refletir, em alto nvel, os objetivos do negcio, num nvel
intermedirio os objetivos tticos e no nvel mais baixo, os objetivos operacionais. Se os objetivos
estiverem alinhados e claros, a aderncia se dar de forma mais suave, uma vez que toda normatizao
ou obrigatoriedade sempre provoca resistncia. Por isso a conscientizao da empresa (pessoas) fator
crtico para o sucesso da segurana da informao.
Outro aspecto, bastante relevante, que deve ser levado em conta a cultura organizacional e o nvel
de maturidade na utilizao de normas gerais, como de qualidade, e em segurana da informao ou
outras que limitam a ao.

39

O enfoque da Poltica deve ser de HABILITAO e no de RESTRIO: Se tudo o que no for

permitido fazer no necessrio s atividades, significa que no h restrio.
Se a segurana da informao permitir que novos processos operacionais e tecnologias sejam
empregados nos processos de negcio, isso demonstra que houve habilitao, pois sem o nvel de
segurana alcanado tais processos e tecnologias poderiam ser inviveis ao negcio, devido aos riscos
que poderiam trazer a reboque.

Por fim, sem pretender exaurir os aspectos possveis, a Poltica de Segurana da Informao deve ser
elaborada sob a abordagem de GESTO DE RISCOS e CONFORMIDADE. Todas as normas devem
ter a finalidade de reduzir riscos presentes no cenrio corporativo. A trade: Confidencialidade,
Integridade e Disponibilidade, deve estar presente em todas as determinaes, quer seja diretamente ou
indiretamente, como por exemplo, focar a Gesto de Identidade (autenticao e autorizao), que
contempla os trs pilares da segurana.
Se no for baseado em riscos, deve ser em funo de cumprimento Legal ou Regulatrio, que, em
ltima anlise, o no cumprimento representa um risco.
No faria sentido elaborar uma norma de segurana que no prev a gesto de riscos ou
conformidade, pois seria apenas incremento burocrtico sem finalidade prtica.

Diante do exposto at ento, podemos afirmar que a Poltica de Segurana da Informao deve ser
elaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenrio nico para
cada uma, ainda que alguns aspectos sejam comuns.

40

Objetivos da Poltica de Segurana

A Poltica de Segurana da Informao tem por objetivos principais:
- Alinhar as aes em segurana da informao com as estratgias de negcio;
- Explicitar a viso da alta direo em relao segurana da informao;
- Exprimir o comprometimento da alta direo com a manuteno da segurana da informao;
- Normatizar as aes referentes segurana da informao;
- Alinhar as aes em segurana da informao com as Leis e Regulamentaes pertinentes;
- Buscar conformidade com Normas externas e clusulas contratuais;
- Instruir sobre procedimentos relativos segurana da informao;
- Delegar responsabilidades;
- Definir requisitos de Conscientizao, Educao e Treinamentos;
- Definir aes disciplinares;
- Alinhar aes em segurana da informao com a continuidade do negcio;
- Ser o pilar de sustentao da segurana da informao; dentre outros.

A Poltica de Segurana da Informao , portanto, uma coletnea de documentos, conforme abaixo

relacionados hierarquicamente, usada para definir controles em aplicativos, estabelecer critrios para
autenticao e autorizao, definir critrios para anlise de riscos e avaliao de impactos, critrios para
auditoria e investigaes, alm de disciplinar sobre violaes da Poltica e Normas.

Em todos os documentos da Poltica, importante que conste, fora as determinaes, algumas

informaes sobre o documento e responsveis pelo mesmo, tais como:

41

Nome da empresa; identificao do documento; assunto abordado no documento; objetivos do

documento; reas e pessoas responsveis pela elaborao, aprovao e manuteno; data da elaborao e
da ltima alterao; classificao do documento.

- Poltica de Segurana o conjunto de todos os documentos;

- Carta do Presidente pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalo da
empresa, demonstrando o comprometimento com a questo e esclarecendo os motivos para tal;
- Diretrizes para Segurana da Informao a sintetizao do que a Empresa espera que seja
feito em relao ao assunto. So diretriz de alto nvel, aplicveis em qualquer ambiente da empresa e
sem termos tcnicos. Exemplos:
Todos os usurios de sistemas e informaes devero ter acesso gerenciado por identidade,
utilizando tecnologias e procedimentos de acordo com a classificao e criticidade das informaes a
que tero acesso;
Todas as informaes devero ser classificadas e ter medidas de proteo de acordo com a
classificao e risco;
Os recursos de informao devero ter sua continuidade preservada, de acordo com sua
classificao e criticidade para os processos operacionais e de negcio;

- Normas de Segurana da Informao Podem ser gerais (para quem usa) ou especficas (para
quem cuida). So as determinaes a serem seguidas por todos ou por aqueles que participam de
determinados processos. Expressa o que deve ser feito em relao segurana da informao na
operacionalizao dos processos de negcios e operacionais, quais os padres aceitveis de utilizao
dos recursos e informaes e quais as medidas disciplinares em caso de violao das mesmas. Nas

42

normas podero conter chamadas ou links para outros documentos, normas, leis ou regulamentaes
que devem ser seguidos, conforme determinao na norma que os invocou. Normas so mandatrias.
Exemplo:
- A autenticao dos usurios deve ser feito por meio de usurio e senha para todos os sistemas
de informao, sendo que os classificados como crticos (alta confidencialidade e integridade) devero
usar mais um fator de autenticao, podendo ser biomtrico, one-time-password (token) ou certificados
digitais;.
- O recurso mensagem eletrnica (e-mail) disponibilizado pela empresa, deve ser utilizado apenas
para fins corporativos, uma vez que um recurso da empresa e disponibilizado para este fim;
- As mensagens eletrnicas (e-mail) sero monitoradas via sistema e podero sofrer auditorias
peridicas ou sempre que a rea responsvel julgar necessrio. Sendo assim, no h que se ter
expectativa de privacidade pessoal nas mensagens enviadas ou recebidas por meio deste recurso da
empresa.

- Procedimentos o detalhamento da Norma. Explica como as Normas devem ser seguidas,

podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar o
entendimento e aplicao das mesmas. Nos procedimentos devem ter informaes do tipo: Como,
quando, quem, onde e porque. Procedimentos so mandatrios. Exemplos:
- Os backups de bancos de dados devero ser realizados com periodicidade mnima diria,
utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade
das informae;.

43

- A rea de TIC ser responsvel pela operacionalizao dos backups, seguindo determinaes dos
gestores dos processos que utilizam tais informaes e de acordo com a classificao de riscos das
mesmas;
- Os gestores de processos e informaes devero proceder anlise de riscos e impactos para que
sirvam de base para a determinao da periodicidade dos backups e restores, devendo delegar a
operao para a rea de TIC e proceder anlises e auditorias nos processos, a fim de garantir sua
eficcia.

- Instrues So os documentos mas detalhados, normalmente tcnicos, de como configurar,

manipular ou administrar recursos tecnolgicos, ou ento manuais de processos operacionais. Exemplos:
- Para criao de novos usurios, usar o tamplate New_User;
- Colocar todos os usurios no grupo Corporativo, do Exchange;
- Preencher os campos do Active Directory necessrios para a assinatura padronizada no Outlook,
para todos os usurios novos;
- Guide lines (guias) So explicaes de tarefas que fazem parte de procedimentos e processos
normatizados, visando facilitar a compreenso e a aplicao das regras, minimizando as diferenas de
entendimento e nivelando o conhecimento. So sugestes no obrigatrias de serem seguidas, visto que
uma tarefa pode ser feira de vrias maneiras e ainda assim apresentar o mesmo resultado. Podem ser
guias fornecidos pelos prprios fornecedores de sistemas ou outros recursos.

44

Desenvolvimento da Poltica de Segurana

O desenvolvimento da Poltica de Segurana da Informao deve ser feito com a participao efetiva
de todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades de
negcio de cada rea, aderente aos padres, costumes e cultura organizacional, ajustando ou alterando
padres quando necessrio, alm de estar em sintonia com os planos estratgicos da Empresa e
necessidades do mercado.

Devem ser seguidas as melhores prticas expressas em normas oficiais e frameworks de segurana
das informaes e gesto de riscos, como as normas ISO da srie 27000, o que proporcionar Empresa
um diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras e
com condies de superar incidentes que poderiam afetar a continuidade operacional. uma
demonstrao de Governana Corporativa, outro assunto valorizado no mercado, e que no possvel de
ser alcanada sem segurana da informao e continuidade.

A Poltica de Segurana das Informaes constituda por uma srie de normas, procedimentos,
guias e outros documentos, que sero suportados por tecnologias e processos que garantam a aderncia e
obedincia s mesmas. a Poltica de Segurana que reger todas as aes referentes segurana,
devendo, portanto, ser clara, especfica, atemporal e exclusiva para a Empresa.

Poltica de Segurana da Informao, conforme j dito, deve estar em alinhamento com a Norma
NBR ISO/IEC 17799:2005 (ou 27001 e 27002), e dever contar uma srie de normas, como por
exemplo as listadas abaixo:

45

- Diretivas de Segurana da Informao;

- Norma de Gesto de Segurana da Informao (GSI);
- Norma de Contratao e Demisso de Colaboradores;
- Norma de Contratao de Servios de Terceiros;
- Norma de Conscientizao, Educao e Treinamento em Segurana da Informao;
- Norma de Utilizao de Sistemas de Comunicao (e-mail, MSN. ICQ, etc.);
- Norma de Acesso Internet e Redes de Terceiros;
- Norma de Controle de Acesso e Administrao de Usurios;
- Norma de Classificao da Informao;
- Norma de Classificao de Ativos;
- Norma de Classificao de Ambientes;
- Norma de Segurana e Gerenciamento de Mdias;
- Norma de Segurana Fsica e de Ambiente;
- Norma de Gerenciamento de Ativos, Configurao e Controle de Mudanas;
- Norma de Auditoria e Anlise Crtica;
- Norma de Backup e Recuperao de Informaes e Sistemas;
- Norma para Anlise de Riscos e Avaliao de Impactos;
- Norma de Gesto de Continuidade Operacional; dentre outras normas que forem necessrias.

Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se que
quanto mais baixo o documento na hierarquia da Poltica, mais alterao poder sofrer, por serem
operacionais. O operacional sofre mais alteraes que o ttico, que por sua vez sofre mais alteraes que
o estratgico. Esse o motivo para no se colocar todas as informaes em um mesmo documento:

46

facilitar o gerenciamento, a atualizao e a disseminao das alteraes sofridas, uma vez que toda
alterao dever ser publicada e comunicada aos interessados.

Para que o investimento feito no desenvolvimento da Poltica perdure, dever ser formatado o
processo de atualizao e reviso da mesma, seja periodicamente ou por mudanas no cenrio
corporativo ou de risco.

Realizao de Campanha de Conscientizao

Como o processo de segurana da informao afeta a todos da Empresa, requerendo mudanas
de hbitos, ajustes de padres e s vezes certo sacrifcio durante a transio e aculturamento, este
processo tende a gerar resistncias e conflitos, quase sempre por desconhecimento dos perigos que
rondam a Empresa, seus Funcionrios e Clientes, e dos benefcios que o processo de segurana da
informao pode proporcionar - habilitao.
Pessoas so o elo mais fraco da segurana a campanha de conscientizao procurar fazer com que
as pessoas se tornem aliadas da segurana, sabendo os motivos, o que e como agir em situaes de risco
para a segurana das informaes.
Engenharia social s funciona porque as pessoas no esto atentas s situaes de riscos, no esto
alertas s ameaas e s situaes que no so pertinentes ou que fogem ao padro ou s regras.
A campanha constante e segmentada manter as pessoas alertas e atualizadas, e assim sero como
guardis das informaes e alarmes de riscos.

47

A campanha de conscientizao deve trabalhar em trs nveis:

- Conscientizao: Porque fazer

- Educao: O que e quando fazer
- Treinamento: Como fazer

Conscientizao
Porque fazer As pessoas tendem a reduzir a resistncia s mudanas quando sabem exatamente os
motivos que as trouxeram, quais sero os benefcios das mudanas e quais os malefcios de no realizlas. Esta abordagem imprime respeito s pessoas envolvidas e gera cumplicidade e colaborao.
Conscientizao o primeiro nvel para a aceitao.

Educao
O que e quando fazer No basta saber as motivaes que fizeram com que a mudana fosse
necessria. H que se saber, e ter claro, o que fazer quando determinada situao ocorrer. O quando
fazer est relacionado necessidade de diferentes aes dependendo da situao e ocasio. Sabendo-se o
que fazer, e quando fazer, elimina-se os fatores medo, apreenso e ansiedade. Bastar que algo acontea
para que as pessoas saibam exatamente o que fazer naquela determinada situao, tendo em mente,
tambm, o porque. Isso d segurana e firmeza nas aes.

48

Treinamento
Como fazer Esta a parte que mais se ouve quando fala-se em novos processos, ferramentas ou
qualquer mudana. de extrema importncia que cada um saiba como fazer as aes demandadas pelas
situaes especficas, mas este saber isolado gera pouco resultado.
Depois de aplicados os dois primeiros nveis da campanha, as pessoas estaro havidas por saber
como agir, quais as tcnicas e quais as ferramentas disponveis para que reajam s situaes. Este desejo
no ser forado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que j
se sabe o motivo de fazer e o quando fazer. a pea que falta e que ser apresentada no treinamento.
O treinamento em tcnicas ou ferramentas especficas ser, ento, um processo natural e agradvel a
todos, o que trar maior resultado de aplicao e reteno do que for ensinado.

Os nveis de treinamento podero ser realizados numa mesma sesso, desde que conscientemente
seja planejado e estruturado para seguir estas etapas.

Implantao da Poltica
O desenvolvimento, elaborao e ajustes da Poltica de Segurana , por si s, um trabalho
extraordinrio, dependendo do porte e complexidade da organizao onde ser aplicada. Mas de nada
adiantar tal elaborao se a aplicao no for feita de forma a atingir os objetivos pretendidos nas
mesmas.

49

O Plano Diretor de Segurana da Informao onde deve constar o planejamento geral da aplicao
da Poltica, uma vez que ir requerer recursos financeiros e de pessoal, bem como a estruturao para
administrao das tecnologias e processos implementados para suportar a Poltica.

VI. Norma BS 7799

A norma BS 7799 a Norma que deu origem tanto verso americana ISO/IEC 17799 quanto
verso brasileira NBR ISO/IEC 17799.

O Brithish Standart 7799 uma norma de segurana da informao criada na Inglaterra que teve seu
desenvolvimento iniciado em 1995 e est dividida em duas partes.
BS 7799-1, a primeira parte da norma, contm uma introduo, definio de extenso e condies
principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e
foi planejada para ser um documento de referncia para implementao de "boas prticas" de segurana
da informao. Como esta primeira parte apenas um cdigo de prtica para segurana da informao,
no objeto de certificao.
A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para
gerenciamento da segurana da informao. Esta a parte da norma que a empresa deve seguir para
conseguir a certificao na BS 7799.

50

Objetivo da Norma
A Norma BS 7799 fornece recomendaes para gesto da segurana da informao para uso por
aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas
organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de
segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos
relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam
selecionadas e usadas de acordo com as necessidades do negcio, com a legislao e as regulamentaes
vigentes e que dizem respeito ao cenrio da empresa.

Controles requeridos pela Norma

Primeiramente devemos saber o que so e para que se prestam os controles descritos na Norma.
So 10 domnios de objetivos de controle (relacionados abaixo) divididos em 36 objetivos de
controles que se subdividem em 127 controles especficos.
Os controles listados na BS 7799 esto divididos nas seguintes reas:
- Poltica de Segurana da Informao;
- Segurana Organizacional;
- Classificao e controle de ativos;
- Segurana de pessoal;
- Segurana fsica e de ambiente;
- Gerenciamento das comunicaes e operaes;
- Controle de Acesso;
- Desenvolvimento e manuteno de sistemas;
- Gerenciamento da continuidade do negcio;

51

- Aderncia.
A Norma no obriga a implementao de todos os controles e nem mesmo que sejam utilizados
somente os controles constantes na mesma, podendo, ento, uma empresa no utilizar alguns controles
sugeridos pela Norma e aplicar outros necessrio ao negcio.

Como cada domnio de objetivos de controle se expande em outros controles especficos, algumas
questes precisam ser respondidas para que se determine quais so aplicveis organizao. Exemplos:
- Na Anlise de Risco foi identificado algum risco que pode ser coberto por este objetivo de
controle?
- Se nada foi identificado na Anlise de Risco que pode ser coberto por este objetivo de controle,
acrescente no Statement of Aplicability (SoA) a justificativa da no aplicao deste objetivo de
controle;
- Se foi identificado, na Anlise de Risco, algum risco que pode ser coberto por este objetivo de
controle, acrescente no Summary of Controls a justificativa da aplicao deste objetivo de controle,
com um pequeno resumo do risco a ser mitigado;
- Dentro do objetivo de controle selecionado, devem ser selecionados quais controles especficos
sero aplicados.

neste contexto que entra o documento Statement of Applicability, ou Declarao de

Aplicabilidade, onde sero especificados e justificados tanto a utilizao como a no utilizao de
controles, assim como a especificao e justificativa da implementao de outros controles que no os
da BS 7799.

52

Cada controle objetiva definir o que deve ser feito para que determinados processos tenham a
segurana assegurada e deve ser aplicado dentro dos processos de negcio para mitigar os riscos a que
estes esto sujeitos.

Seleo dos controles

Para que sejam definidos quais controles a ser implementados na empresa necessrio que se tenha
claramente definido quais os processos de negcio sero contemplados pelos controles e qual a
aplicabilidade destes, ou seja, a que risco o controle se prope a mitigar.
No faz sentido implementar um controle sem um objetivo claro e real.

Para isso, necessrio que alguns passos sejam seguidos:

- O objetivo deste trabalho deve estar totalmente entendido e aceito pelos gestores da empresa e dos
processos que sero alvo dos controles;
- O trabalho de conscientizao quanto aos objetivos deste trabalho dever ser feito em todos os
nveis de usurios que sero afetados pelos controles;
- imperativo que no se confunda a etapa de levantamento de requisitos de segurana definio de
controles com auditoria, pois isso acabar criando limitao na colaborao que os envolvidos poderiam
dar ao trabalho.
- Antes que sejam definidos quais controles implementar, dever ser feito um trabalho meticuloso de
Anlise de Risco e Impacto nos Negcios, no qual constar o levantamento e detalhamento dos
processos de negcio, dos ativos que suportam tais processos e dos riscos e vulnerabilidades a que so

53

suscetveis, assim como a interdependncia entre os processos e a dependncia entre os processos e os

ativos; (Veja mais em Anlise de Riscos)

A seleo de controles dever se dar baseado na anlise de riscos e nos requisitos de segurana
necessrios segurana dos processos de negcio, objetivando a mitigao e controle dos riscos
identificados na Anlise de Riscos.

Como j foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Norma
serem aplicveis organizao, devendo constar no Statement of Applicability a especificao e a
justificativa da aplicao e tambm da no aplicao do controle pela organizao. Neste documento
dever constar tambm os controles que no os especificados pela BS 7799. (ver Statement of
Applicability (SoA)).

Uma boa ferramenta de verificao a criao de um Summary of Controls (SoC), que

equivalente ao documento de pr-auditoria, documento este que enumera todos os controles aplicados,
bem como um resumo de seus objetivos.

Para que o processo de seleo de controles seja bem realizado e tenha o comprometimento de toda a
empresa, o mesmo dever ser realizado pelo Security Officer em parceria com:
- alta direo da organizao;
- gestores dos processos de negcio;
- responsveis por auditoria;
- responsveis por processos operacionais;

54

- responsveis por setores da organizao;

- responsveis por reas especficas de controle;
- responsveis por tecnologias aplicadas ao negcio;
- Usurios; e
- Todos os envolvidos nos processos da organizao que no constam desta lista ou que o Security
Officer julgue que possa agregar ao processo decisrio e de implementao.

Cada participao dever acontecer a seu tempo, de acordo com a fase do processo, seja decisrio ou
de implementao.

Cabe aos nveis estratgico e ttico da organizao decidir quais controles devero ser implementados,
dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, e
ao nvel operacional a implementao e, caso necessrio, propor mudanas e melhorias nos controles a
serem implementados, desde que no mude o objetivo e nem perca o foco do risco em questo.

Apostila elaborada por: Prof. Salomo de Oliveira.

Para utilizao na disciplina Normas e Polticas de Segurana da Informao no curso Gesto de
Tecnologia, no Centro Universitrio Radial Estcio de So Paulo Campus Jabaquara.

55